Menu
Brasília

Sistema permite burlar esquema de segurança do Bike Brasília

Arquivo Geral

12/08/2014 7h00

Na mesma velocidade em que os aplicativos são criados, surgem pessoas mal-intencionadas capazes de burlar sistemas frágeis e vasculhar dados dos usuários. O tamanho do prejuízo varia e vai desde páginas pessoais hackeadas até a invasão de contas bancárias. Convencido de que o setor de segurança da informação ainda precisa evoluir, o especialista Renato Ribeiro, 33 anos, criou um sistema capaz de desbloquear, sem pagamento, as bicicletas do projeto  Bike Brasília, distribuídas em pontos estratégicos da cidade para facilitar o deslocamento.

O especialista, que é representante da Apple no Brasil, possui um portal (www.renatoribeiro.me), onde publica artigos relacionados a área de Tecnologia da Informação. No ano passado, teria alertado cerca de 50 empresas sobre problemas graves em seus sistemas e sugerido formas eficientes de resolvê-los. 

Como de lá para cá quase nada mudou, o rapaz resolveu mostrar, na prática, como as brechas nos produtos podem resultar em problemas graves para as companhias e seus clientes.

Escolha

Para o teste, Renato escolheu o projeto Bike Brasília, programa de mobilidade urbana e sustentabilidade criado pelo Banco Itaú em parceria com a empresa Serttel. Em estações espalhadas pelas maiores capitais do Brasil, entre elas São Paulo (SP) e Rio de Janeiro (RJ), é possível retirar bicicletas para transitar pelas ruas das cidades pagando uma anuidade de R$ 10.

A Serttel é a desenvolvedora do aplicativo utilizado para retirar as bicicletas na estação escolhida e  foi justamente neste ponto do processo que Ribeiro encontrou falhas. O especialista criou um sistema capaz de desbloquear as bicicletas sem a necessidade de pagamento prévio. E, segundo ele, os problemas não param por aí e os riscos podem ser grandes.

“Se no momento em que a pessoa está adquirindo um voucher para usar as bicicletas houver uma rede wi-fi pública no local, é possível que um invasor acesse todos os dados do usuário”, garante.

Usuários prejudicados

Renato também aponta outro risco: “Ainda descobri uma forma de ter acesso aos vouchers adquiridos pelos usuários. Dessa forma, quando a pessoa for utilizar seu cupom para desbloquear uma bicicleta pode não conseguir, pois alguém fez isso antes. Como se não bastasse, se o invasor não devolver a bicicleta que pegou ficará constando uma pendência para o usuário que adquiriu o voucher legalmente”, completa. 

Segundo ele, a escolha do Bike Brasília para o teste foi motivada pelo fato de o projeto ter abrangência nacional, do qual ele próprio também é cliente. “Minha intenção é alertar os usuários e, principalmente, os desenvolvedores dos sistemas. Não vou comercializar o aplicativo que criei para burlar o Bike Brasília”, alega.

Contato

Assim que identificou a falha, o especialista diz ter entrado em contato com a Serttel por e-mail. O primeiro contato teria sido no dia 28 de julho. “A correspondência foi enviada ao presidente da empresa com cópia para o diretor da T.I, mas não obtive resposta. Eu os avisei que publicaria um artigo sobre os problemas, mas isso não os preocupou. Dias depois resolvi gravar um vídeo e voltei a enviar para eles, a esse sim eles responderam”, disse. 

Ribeiro conta que os dirigentes da empresa o convidaram a participar de um projeto para corrigir as falhas. Segundo ele, problemas relacionados a segurança da informação são mais comuns do que se imagina. Por esse motivo, David Emm, investigador de segurança da Equipe Global de Investigação, acredita que toda pessoa tem a responsabilidade de fazer sua parte para se defender de ataques cibernéticos. “Em primeiro lugar, precisamos proteger nossos computadores por meio da instalação de uma solução de segurança para Internet”, explicou.

Versão oficial
 
Procurada, a Serttel informou que “um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do produto desenvolvido pela empresa  e com isso retirar mais de uma bicicleta”. A  assessoria da empresa afirmou que está tomando as medidas legais  cabíveis para responsabilizar o invasor e ressaltou que os dados dos usuários foram preservados e permanecem em segurança. O banco Itaú, parceiro da Serttel no projeto, esclareceu que os dados confidenciais dos usuários “não foram expostos em nenhum momento, como foi afirmado por Renato Ribeiro, e permanecem em segurança”.

    Você também pode gostar

    Assine nossa newsletter e
    mantenha-se bem informado