O especialista em segurança Renato Ribeiro revelou ao Canaltech, nesta quinta-feira (07), que encontrou uma série de falhas de segurança consideradas "graves" no sistema de compartilhamento de bicicletas mantido pelo Banco Itaú em Brasília, o Bike Brasília. As falhas foram encontradas há cerca de duas semanas, quando Ribeiro resolveu testar a segurança do aplicativo utilizado para o desbloqueio das bicicletas, desenvolvido pela empresa Serttel.
A primeira das falhas permitiu a ele criar uma sistema web para acessar o servidor do serviço e desbloquear as bicicletas sem o uso do aplicativo. Ribeiro afirma ainda que conseguiu explorar uma segunda falha diretamente no servidor da Serttel, que permitiu acessar informações sensíveis de usuários cadastrados no serviço. Quando explorada, o especialista teve acesso a informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários.
"Mantive as informações 'pass number', que é algo que me permite retirar quantas bicicletas eu quiser", explicou ao Canaltech. "O resto eu deletei imediatamente por não ser o objetivo do meu teste". Com os pass numbers em mãos, Renato conseguiu desbloquear quantas bicicletas quisesse, se passando por outros usuários cadastrados.
Segundo ele, como o sistema usa uma criptografia "fraca", seria possível ainda a um atacante interceptar informações como dados de cartões de crédito de um usuário. Bastaria que o atacante estivesse conectado à mesma rede Wi-Fi que um usuário do aplicativo no momento de uma transação para liberar a bicicleta.
Logo que descobriu as vulnerabilidades, o especialista disse ter entrado em contato com a empresa para que elas fossem corrigidas, no último dia 23 de julho. De acordo com ele, a empresa não respondeu ao contato inicial. Na semana passada, o especialista resolveu então publicar um vídeo no qual mostra a vulnerabilidade do sistema - só então teria recebido o contato da Serttel.
Assine nosso canal e saiba mais sobre tecnologia!
De acordo com o especialista, a ideia para testar o sistema surgiu após um experimento que ele fez no ano passado, quando reuniu 50 aplicativos brasileiros para iOS e testou suas opções de segurança. A experiência resultou em um artigo, no qual Ribeiro afirma que, do total, 42 dos apps possuiam algum tipo de falha.
Agora, a escolha da análise do Bike Brasília veio pela popularidade do app. "Eu queria saber se o desenvolvedor levou a sério, a bicicleta é um projeto de destaque", disse.
Posicionamento
Na tarde de ontem (07), a reportagem entrou em contato com a empresa responsável pelo sistema e operação do projeto de compartilhamento de bicicletas em Brasília para questionar sobre as falhas encontradas.
Em comunicado enviado ao Canaltech, a empresa informou que "um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema, e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do sistema desenvolvido pela empresa e com isso retirar mais de uma bicicleta".
A organização também afirmou que está tomando providências "legais e cabíveis" em relação ao caso, e que os dados dos usuários do sistema foram "preservados e permanecem em segurança".
O Canaltech também entrou em contato com a assessoria de imprensa do Itaú, mas até o fechamento da matéria não havia obtido resposta.
Matéria completa: http://canaltech.com.br
bem vindo ao brasil onde falta de segurança e saúde e de baixo nível, ACORDA POVO!
ResponderExcluiraté ai eles encontra falhas, ta cada vez mais a falta de segurança presente nos nossos dias...
ResponderExcluir"informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários." caraca a que ponto chegamos...
ResponderExcluir