Especialista descobre falha e consegue acesso a sistema de bicicletas do Itaú

O especialista em segurança Renato Ribeiro revelou ao Canaltech, nesta quinta-feira (07), que encontrou uma série de falhas de segurança consideradas "graves" no sistema de compartilhamento de bicicletas mantido pelo Banco Itaú em Brasília, o Bike Brasília. As falhas foram encontradas há cerca de duas semanas, quando Ribeiro resolveu testar a segurança do aplicativo utilizado para o desbloqueio das bicicletas, desenvolvido pela empresa Serttel.

A primeira das falhas permitiu a ele criar uma sistema web para acessar o servidor do serviço e desbloquear as bicicletas sem o uso do aplicativo. Ribeiro afirma ainda que conseguiu explorar uma segunda falha diretamente no servidor da Serttel, que permitiu acessar informações sensíveis de usuários cadastrados no serviço. Quando explorada, o especialista teve acesso a informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários.

"Mantive as informações 'pass number', que é algo que me permite retirar quantas bicicletas eu quiser", explicou ao Canaltech. "O resto eu deletei imediatamente por não ser o objetivo do meu teste". Com os pass numbers em mãos, Renato conseguiu desbloquear quantas bicicletas quisesse, se passando por outros usuários cadastrados.

Segundo ele, como o sistema usa uma criptografia "fraca", seria possível ainda a um atacante interceptar informações como dados de cartões de crédito de um usuário. Bastaria que o atacante estivesse conectado à mesma rede Wi-Fi que um usuário do aplicativo no momento de uma transação para liberar a bicicleta.

Logo que descobriu as vulnerabilidades, o especialista disse ter entrado em contato com a empresa para que elas fossem corrigidas, no último dia 23 de julho. De acordo com ele, a empresa não respondeu ao contato inicial. Na semana passada, o especialista resolveu então publicar um vídeo no qual mostra a vulnerabilidade do sistema - só então teria recebido o contato da Serttel.

De acordo com o especialista, a ideia para testar o sistema surgiu após um experimento que ele fez no ano passado, quando reuniu 50 aplicativos brasileiros para iOS e testou suas opções de segurança. A experiência resultou em um artigo, no qual Ribeiro afirma que, do total, 42 dos apps possuiam algum tipo de falha.

Agora, a escolha da análise do Bike Brasília veio pela popularidade do app. "Eu queria saber se o desenvolvedor levou a sério, a bicicleta é um projeto de destaque", disse.

Posicionamento

Na tarde de ontem (07), a reportagem entrou em contato com a empresa responsável pelo sistema e operação do projeto de compartilhamento de bicicletas em Brasília para questionar sobre as falhas encontradas.

Em comunicado enviado ao Canaltech, a empresa informou que "um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema, e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do sistema desenvolvido pela empresa e com isso retirar mais de uma bicicleta".

A organização também afirmou que está tomando providências "legais e cabíveis" em relação ao caso, e que os dados dos usuários do sistema foram "preservados e permanecem em segurança".

O Canaltech também entrou em contato com a assessoria de imprensa do Itaú, mas até o fechamento da matéria não havia obtido resposta.