Brecha no sistema de transporte da Grande Vitória expôs dados de estudantes

A falta de protocolos de segurança adequados no site do GVBus, o sistema de transporte coletivo da Grande Vitória, levou à possível exposição de informações pessoais de centenas de milhares de estudantes das cidades da região. O acesso aos dados era possibilitado apenas com a inserção do CPF, sem nenhum método adicional de verificação de identidade.

Uma vez dentro do sistema, terceiros poderiam ter acesso a todos os dados cadastrados do aluno, incluindo nome completo e do pai e mãe, RG, e-mail, telefone, data de nascimento e endereço. Informações da instituição de ensino também apareciam disponíveis, como o nome da escola ou faculdade, número de matrícula, nível de ensino, turno e curso em que o estudante está matriculado. Tais informações também podiam ser alteradas a partir da mesma tela.

O problema foi descoberto pelo técnico em redes Mateus Gomes e atingiria os beneficiários do Passe Escolar da Grande Vitória, que garante o benefício da meia passagem. Plataformas que dão acesso a passes gratuitos para estudantes de baixa renda, apesar de acessadas pelo mesmo sistema da GVBus, não sofriam com essa vulnerabilidade.

“O CPF é algo pessoal que diferencia as pessoas, mas não é um documento protegido”, explica Gomes. Encontrar os números dos cidadãos brasileiros na internet não é tarefa complicada e, uma vez de posse desses dados, seria fácil acessar o sistema e verificar se as informações dos alunos aparecem lá. Além disso, o técnico aponta outro problema, que abre a possibilidade de uma segunda etapa de golpe: a ausência de proteção contra ataques de força bruta.

Em golpes desse tipo, sistemas são sobrecarregados por solicitações sucessivas, muitas vezes de forma a retirar a plataforma do ar. Entretanto, quando essa prática é associada a uma exposição de dados, a ideia é que hackers seriam capazes de extrair informações em massa a partir de serviços desprotegidos. “Um atacante poderia desenvolver um código malicioso que testa possibilidades de CPFs e, conforme fosse acertando, seria feita a extração dos dados”, explica Gomes.

Ele ainda aponta a utilização de serviços de computação na nuvem para esse fim, com o poder destas plataformas sendo usado para rodar códigos de forma veloz e obter um gigantesco volume de informações que, mais tarde, pode ser usado em golpes. “Qualquer pessoa pode comprar grande processamento computacional por um preço acessível, não ficando restrita ao computador pessoal. Além disso, muitas empresas [do ramo] oferecem serviços gratuitos”, completa.

Uma prova de conceito foi exibida ao Canaltech pelo técnico, que mostrou a falha utilizando seus próprios dados pessoais e, depois, mostrou como um código simples é capaz de realizar tentativas sucessivas no site da GVBus, extraindo informações de alunos sempre que um acesso bem-sucedido é detectado. Em teoria, a falha atingiria virtualmente todos os alunos cadastrados na plataforma de Passe Escolar, um universo de centenas de milhares de pessoas.

Portas fechadas

A reportagem foi notificada sobre a falha no dia 19 de março, com o primeiro contato do Canaltech com a GVBus acontecendo no dia 25 daquele mês. Menos de 24 horas depois, a plataforma de recadastro de estudantes foi desativada, com todos os cadastros se tornando inacessíveis e uma mensagem informando que o site está em manutenção.

Uma resposta da empresa, entretanto, veio apenas no dia 30 de março e após mais um contato do Canaltech. No comunicado, a GVBus afirma que a equipe técnica está verificando o problema reportado em busca de fragilidades de segurança, mas negou que a plataforma tenha sido retirada do ar por causa delas. Segundo eles, o período de manutenção é um reflexo das medidas de combate à pandemia do coronavírus.

O porta-voz da companhia afirma que o governo do Espírito Santo optou por suspender a realização de novos cadastros de estudantes e a utilização de benefícios de gratuidade ou meia passagem, já que o período letivo foi interrompido devido às medidas de isolamento social. A plataforma, então, deve permanecer fora do ar enquanto vigorarem as medidas.

A empresa não respondeu às demais tentativas de contato do Canaltech. A plataforma de cadastramento de estudantes permanece inacessível no momento de publicação desta reportagem.

Medidas e cuidado

De acordo com Emilio Simoni, diretor do dfndr Lab, o laboratório de segurança digital da PSafe, medidas comuns poderiam mitigar os riscos de acesso direcionado às informações de indivíduos específicos, ainda que mantendo o acesso ao sistema apenas por meio de CPF. “Os dados poderiam ser enviados a um e-mail cadastrado pelo usuário, por exemplo, já que se supõe que apenas ele teria acesso [à caixa de entrada]”, explica. Além disso, ele cita a utilização de captchas para evitar ataques de força bruta, já que sistemas dessa categoria são capazes de impedir a atuação de robôs que realizam essa coleta ostensiva.

De acordo com Simoni, cabe às equipes técnicas da empresa analisarem logs de acesso em busca de tentativas não-autorizadas ou que tenham sido feitas de forma massiva. “Ele pode verificar um ataque de força bruta verificando logs em busca de solicitações que tenham sido feitas muitas vezes por segundo, por exemplo”, diz o especialista. Ele também ressalta que tentativas desse tipo nem sempre implicam em um comprometimento: “Como se trata de tentativa e erro, os resultados podem ser limitados”.

Não existem indícios de exploração da falha por terceiros, mas, ainda assim, a recomendação é de cautela para os eventuais atingidos, principalmente em relação a tentativas de golpe que utilizem engenharia social. Bandidos poderiam usar as informações extraídas do sistema de cadastro de estudantes para aplicar golpes em nome da própria GVBus e também da instituição de ensino em que estão matriculados, além de, possivelmente, utilizarem os dados pessoais na prática de fraudes.

“O bandido pode ligar para a vítima e fornecer dados que ela já tem como forma de provar a autenticidade do contato, aplicando um golpe na sequência”, completa Simoni. Por fim, ele chama atenção especial para tentativas de clonagem do WhatsApp, que também podem utilizar métodos semelhantes.