Falha no Bilhete Único permite que usuários não paguem pela viagem - Asplan Sistemas

Falha no Bilhete Único permite que usuários não paguem pela viagem

Vulnerabilidade encontrada por especialistas permite salvar os saldos anteriores nos cartões de transporte público de SP
Dois especialistas em segurança na internet encontraram uma vulnerabilidade no sistema do Bilhete único, cartão eletrônico que unifica toda a bilhetagem dos meios de transporte de São Paulo em um único dispositivo. A falha na criptografia dos cartões permite recarregá-los quantas vezes for necessário sem gastar nada. Os saldos anteriores depositados no Bilhete único podem ser salvos por diversas vezes.
Em entrevista exclusiva para o Olhar Digital, os pesquisadores Gabriel Lima e Vinicius Camacho, sócios da empresa Ponto Sec, explicaram que este tipo de cartão já apresentou vulnerabilidades em outros países como Holanda e Estados Unidos. No entanto, o sistema utilizado por estes locais continha ainda mais problemas. “Nos cartões da Holanda era possível inserir o saldo que quisesse no cartão sem pagar nada, mas aqui é diferente. A falha nos permite salvar o saldo anterior”, comenta Gabriel. “Com isso, é possível passar diversas vezes na catraca sem precisar recarregar o cartão”, completa.
Cada cartão do Bilhete único possui uma criptografia que protege suas informações. Porém, de acordo com os pesquisadores, estas chaves de segurança são extremamente fracas. Com um software de quebra de criptografia, os rapazes conseguiram invadir o cartão e analisar como ele funcionava. Durante três semanas, eles fizeram diversos testes para entender como o saldo era salvo. “Nós colocávamos R$ 10 e passávamos na catraca e, então, avaliávamos como o sistema se comportava”, lembra. Com o tempo, eles conseguiram programar o cartão para salvar os saldos positivos anteriores e usá-los para passar pelas catracas.
Apesar de parecer um esquema simples, Gabriel comenta que o conserto desta falha não será tão fácil de se resolver. “O problema é que eles têm que mudar todos os cartões, pois o sistema de saldo do Bilhete único fica instalado em cada cartão e não em um banco de dados como acontece com um cartão bancário. Também não sei se os cartões suportariam outra criptografia”, explica. “Não posso afirmar com certeza, porque não sei exatamente como funcionam os softwares das catracas e dos pontos de vendas de recarga”, concluiu.
Os pesquisadores avisaram a SP Trans sobre a falha no dia 1 de fevereiro. No dia seguinte (02/02), o Olhar Digital teve acesso à informação e também entrou em contato com a SP Trans. A resposta da empresa chegou no dia 04/02: 
“A SPTrans ressalta que não há registro de vulnerabilidade que tenha afetado o controle ou os créditos do Bilhete único de São Paulo. A sua concepção de segurança tem sido suficiente para garantir sua integridade. Além da segurança do programa, esta gestora do transporte público da capital possui equipe e sistemas informatizados para monitoramento ininterrupto de vulnerabilidades e nunca se deu qualquer alerta de desconformidade nesse sentido”.
No entanto, continuamos insistindo com a empresa, alertando para o ocorrido. Nesta segunda-feira (13/02) pela manhã, após reuniões com os especialistas, a companhia finalmente soltou um novo comunicado à imprensa. “A SPTrans informa que abriu uma sindicância para investigar a possibilidade de tentativa de fraude contra o sistema do Bilhete único. Esta investigação deverá estar concluída em 30 dias”. 
De acordo com os especialistas, a pesquisa ainda não foi concluída. A dupla pretende testar outros sistemas similares para fornecer mais detalhes técnicos sobre a falha. Por conta disso, o vídeo que demonstra todo o processo (e que tivemos acesso) não pôde ser publicado.
Tecnologia
A tecnologia dos cartões inteligentes sem contato, utilizada no Bilhete único, é chamada de Mifare. Existem diferentes modelos e aplicações desse sistema e o transporte público é apenas um deles. Como o cartão permite a gravação de qualquer tipo de informação, a mesma tecnologia é usada também para cartões de portagens, parquímetros e estações de serviços, além daqueles cartões de proximidade que usamos para entrar em vários prédios comerciais. E é aí que mora o perigo. 
Gabriel comenta que um de seus maiores receios é que essas vulnerabilidades na tecnologia sejam usadas para invasão de estabelecimentos. “Uma pessoa mal intencionada poderia modificar o cartão e ter acesso a prédios comerciais que utilizam esse sistema, por exemplo”, conclui.

Fonte: http://olhardigital.uol.com.br/produtos/digital_news/noticias/pesquisadores-encontram-vulnerabilidade-no-bilhete-unico

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *