Na mesma velocidade em que os aplicativos são criados, surgem pessoas mal-intencionadas capazes de burlar sistemas frágeis e vasculhar dados dos usuários. O tamanho do prejuízo varia e vai desde páginas pessoais hackeadas até a invasão de contas bancárias. Convencido de que o setor de segurança da informação ainda precisa evoluir, o especialista Renato Ribeiro, 33 anos, criou um sistema capaz de desbloquear, sem pagamento, as bicicletas do projeto Bike Brasília, distribuídas em pontos estratégicos da cidade para facilitar o deslocamento.
O especialista, que é representante da Apple no Brasil, possui um portal (www.renatoribeiro.me), onde publica artigos relacionados a área de Tecnologia da Informação. No ano passado, teria alertado cerca de 50 empresas sobre problemas graves em seus sistemas e sugerido formas eficientes de resolvê-los.
Como de lá para cá quase nada mudou, o rapaz resolveu mostrar, na prática, como as brechas nos produtos podem resultar em problemas graves para as companhias e seus clientes.
Escolha
Para o teste, Renato escolheu o projeto Bike Brasília, programa de mobilidade urbana e sustentabilidade criado pelo Banco Itaú em parceria com a empresa Serttel. Em estações espalhadas pelas maiores capitais do Brasil, entre elas São Paulo (SP) e Rio de Janeiro (RJ), é possível retirar bicicletas para transitar pelas ruas das cidades pagando uma anuidade de R$ 10.
A Serttel é a desenvolvedora do aplicativo utilizado para retirar as bicicletas na estação escolhida e foi justamente neste ponto do processo que Ribeiro encontrou falhas. O especialista criou um sistema capaz de desbloquear as bicicletas sem a necessidade de pagamento prévio. E, segundo ele, os problemas não param por aí e os riscos podem ser grandes.
“Se no momento em que a pessoa está adquirindo um voucher para usar as bicicletas houver uma rede wi-fi pública no local, é possível que um invasor acesse todos os dados do usuário”, garante.
Usuários prejudicados
Renato também aponta outro risco: “Ainda descobri uma forma de ter acesso aos vouchers adquiridos pelos usuários. Dessa forma, quando a pessoa for utilizar seu cupom para desbloquear uma bicicleta pode não conseguir, pois alguém fez isso antes. Como se não bastasse, se o invasor não devolver a bicicleta que pegou ficará constando uma pendência para o usuário que adquiriu o voucher legalmente”, completa.
Segundo ele, a escolha do Bike Brasília para o teste foi motivada pelo fato de o projeto ter abrangência nacional, do qual ele próprio também é cliente. “Minha intenção é alertar os usuários e, principalmente, os desenvolvedores dos sistemas. Não vou comercializar o aplicativo que criei para burlar o Bike Brasília”, alega.
Contato
Assim que identificou a falha, o especialista diz ter entrado em contato com a Serttel por e-mail. O primeiro contato teria sido no dia 28 de julho. “A correspondência foi enviada ao presidente da empresa com cópia para o diretor da T.I, mas não obtive resposta. Eu os avisei que publicaria um artigo sobre os problemas, mas isso não os preocupou. Dias depois resolvi gravar um vídeo e voltei a enviar para eles, a esse sim eles responderam”, disse.
Ribeiro conta que os dirigentes da empresa o convidaram a participar de um projeto para corrigir as falhas. Segundo ele, problemas relacionados a segurança da informação são mais comuns do que se imagina. Por esse motivo, David Emm, investigador de segurança da Equipe Global de Investigação, acredita que toda pessoa tem a responsabilidade de fazer sua parte para se defender de ataques cibernéticos. “Em primeiro lugar, precisamos proteger nossos computadores por meio da instalação de uma solução de segurança para Internet”, explicou.