Especialista descobre falha e consegue acesso a sistema de bicicletas do Itaú

Por Rafael Romer | 08 de Agosto de 2014 às 17h20
photo_camera Reprodução
Tudo sobre

Itaú Unibanco

O especialista em segurança Renato Ribeiro revelou ao Canaltech, nesta quinta-feira (07), que encontrou uma série de falhas de segurança consideradas "graves" no sistema de compartilhamento de bicicletas mantido pelo Banco Itaú em Brasília, o Bike Brasília. As falhas foram encontradas há cerca de duas semanas, quando Ribeiro resolveu testar a segurança do aplicativo utilizado para o desbloqueio das bicicletas, desenvolvido pela empresa Serttel.

A primeira das falhas permitiu a ele criar uma sistema web para acessar o servidor do serviço e desbloquear as bicicletas sem o uso do aplicativo. Ribeiro afirma ainda que conseguiu explorar uma segunda falha diretamente no servidor da Serttel, que permitiu acessar informações sensíveis de usuários cadastrados no serviço. Quando explorada, o especialista teve acesso a informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários.

"Mantive as informações 'pass number', que é algo que me permite retirar quantas bicicletas eu quiser", explicou ao Canaltech. "O resto eu deletei imediatamente por não ser o objetivo do meu teste". Com os pass numbers em mãos, Renato conseguiu desbloquear quantas bicicletas quisesse, se passando por outros usuários cadastrados.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Segundo ele, como o sistema usa uma criptografia "fraca", seria possível ainda a um atacante interceptar informações como dados de cartões de crédito de um usuário. Bastaria que o atacante estivesse conectado à mesma rede Wi-Fi que um usuário do aplicativo no momento de uma transação para liberar a bicicleta.

Logo que descobriu as vulnerabilidades, o especialista disse ter entrado em contato com a empresa para que elas fossem corrigidas, no último dia 23 de julho. De acordo com ele, a empresa não respondeu ao contato inicial. Na semana passada, o especialista resolveu então publicar um vídeo no qual mostra a vulnerabilidade do sistema - só então teria recebido o contato da Serttel.

De acordo com o especialista, a ideia para testar o sistema surgiu após um experimento que ele fez no ano passado, quando reuniu 50 aplicativos brasileiros para iOS e testou suas opções de segurança. A experiência resultou em um artigo, no qual Ribeiro afirma que, do total, 42 dos apps possuiam algum tipo de falha.

Agora, a escolha da análise do Bike Brasília veio pela popularidade do app. "Eu queria saber se o desenvolvedor levou a sério, a bicicleta é um projeto de destaque", disse.

Posicionamento

Na tarde de ontem (07), a reportagem entrou em contato com a empresa responsável pelo sistema e operação do projeto de compartilhamento de bicicletas em Brasília para questionar sobre as falhas encontradas.

Em comunicado enviado ao Canaltech, a empresa informou que "um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema, e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do sistema desenvolvido pela empresa e com isso retirar mais de uma bicicleta".

A organização também afirmou que está tomando providências "legais e cabíveis" em relação ao caso, e que os dados dos usuários do sistema foram "preservados e permanecem em segurança".

O Canaltech também entrou em contato com a assessoria de imprensa do Itaú, mas até o fechamento da matéria não havia obtido resposta.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.