Ir para o conteúdo.

Início » Segurança » Falha de segurança no Bilhete Único de São Paulo

Ontem a SPTrans, responsável pelo sistema público de transporte coletivo de São Paulo, entrou em alerta, cortesia dos pesquisadores da empresa Pontosec que relataram uma monumental falha no sistema de Bilhete Único. Sem divulgar detalhes, eles disseram que encontraram um meio de copiar créditos em um cartão e dessa forma podem usar o transporte sem pagar.

Até ontem a falha não era divulgada, mas hoje um texto no Pastie.org diz exatamente o que a SPTrans não queria que dissesse.

Para quem não mora em SP, eis uma explicação breve do sistema Bilhete Único: trata-se de um cartão que contém créditos para serem usados nos meios de transporte público da região metropolitana. Várias cidades ao redor do Brasil e do mundo implementam algo assim: já vi e usei em Vitória, Belo Horizonte e Rio de Janeiro. Aqui em São Paulo SPTrans diz que o sistema é infalível há 7 anos, até agora.

Mas não é exatamente assim. Ao menos para mim, a falha de segurança não é uma novidade: há meses conversei com amigos que não só têm acesso à tecnologia de leitura e gravação de cartões desse tipo no Brasil como também tem o conhecimento para usá-la para fins pouco legítimos (embora eles me garantiram que não usam). Eles me mostraram como conseguiram fazer o dump dos valores de um cartão e gravá-lo em outro com extrema facilidade. A informação bate com o texto colado no Pastie.org.

A falha no sistema usado pela SPTrans era conhecida há pelo menos um ano, mas somente agora com a sua divulgação o órgão decidiu tomar alguma atitude. E isso infelizmente condiz com a realidade no Brasil, em que as empresas responsáveis por esse tipo de serviço parecem se preocupar pouco com a segurança e integridade dos dados. A SPTrans pelo menos já sabe o que fazer e deve trocar os 25 milhões de bilhetes nas mãos dos usuários dentro de 30 dias, embora não tenha certeza da logística de como isso deve acontecer.

Espero que a divulgação dessa falha sirva de alerta para que as demais empresas percebam que é melhor corrigir logo as falhas de um sistema inseguro do que perder dinheiro. Ao todo, o sistema do Bilhete Único gera R$ 310 milhões por mês aos cofres da cidade e do estado. Mas com a divulgação dessa falha, a possibilidade de pessoas mais espertas conseguirem andar de graça pelo metrô e ônibus de SP aumenta. E muito.

Dica do Felipe Cepriano (@felipecn) no Twitter. Valeu, Felipe!

17 Comentários (Deixe o seu!)

  • Mauro

    Prezados senhores,

    Trabalhei por 5 anos para a empresa detentora da tecnologia utilizada pela SPTrans. Sabemos que NÃO EXISTE TECNOLOGIA INFALÍVEL E/OU NÃO SUCEPTÍVEL A FRAUDE. Atuei justamente na área de desenvolvimento de software e, apesar de ter encerrado meu ciclo nessa empresa em 2005 e não ter mais qualquer vínculo profissional com a empresa, conheço os profissionais envolvidos no desenvolvimento do produto e estou ciente da capacidade técnica e compromentimento dos mesmos com a disponibilização de um produto de qualidade. Com ex colaborador da empresa também sei de possíveis falhas de segurança. Se ao invés de divulgarem esse tipo de informação para ficarem se vangloriando, esta fosse repassada aos profissionais responsáveis, a falha já teria sido corrigida!

    Sem mais

    • Claudio H.
      541c

      Se essa informação fosse simplismente passada para os responsáveis, eles nada fariam, colocariam panos quentes, afinal ninguém saberia mesmo.

      Essa foi uma forma do(s) indivíduo(s) em questão chamarem atenção para este problema, que agora sim, com certeza será resolvido.

      • Claudio H.
        541c

        simplesmente*

      • verdade… o Brasil é assim!

        • Henrique Pinheiro
          97c

          O Brasil não. O mundo.

      • Mauro

        Ainda bem quem nem todo mundo tem uma capacidade raciocínio tão tacanha e medíocre.

    • Scott
      516c

      Se ao invés de divulgarem esse tipo de informação para ficarem se vangloriando, esta fosse repassada aos profissionais responsáveis, a falha já teria sido corrigida!

      Direto do Estadão:

      Essa é a primeira denúncia sobre a possibilidade de falhas no bilhete único desde 2008 – naquele ano, foi descoberto que grupos de perueiros aproveitavam a gratuidade do bilhete por três horas para liberar catracas sem que passageiros fizessem viagens, o que aumentava o repasse de verbas do sistema que eles tinham direito (veja ao lado). Mas a SPTrans diz conhecer os relatos de falhas no sistema ao redor do mundo. “Desde 2008 já há estudos que mostram pontos de vulnerabilidade”, afirma Souza.

      • Scott
        516c

        E apenas pra constar, outra matéria do Estadão:

        A brecha foi descoberta por um pesquisador, que enviou todos os detalhes para a São Paulo Transporte (SPTrans) [...]

        Os sócios da empresa chegaram a gravar um vídeo explicando a fragilidade do bilhete único, para que a falha pudesse ser debatida entre a comunidade brasileira de programadores de computador. “Obviamente não vamos divulgar o programa que criamos, o que queremos é evitar fraudes” [...]

        Lima e seus outros dois sócios procuraram a SPTrans no dia 1.º e repassaram um relatório da falha e o vídeo explicativo. Mas o primeiro contato da Prefeitura com o grupo ocorreu após o Estado cobrar explicações sobre a falha.

        O pessoal da SPTrans ficou tão preocupado com a falha que só entrou em contato com a empresa que reportou a vulnerabilidade depois de serem contatos por um jornal!

      • Mauro

        Sim! Foi descoberto também em uma ocasião o uso de celular para liberar a solenóide da catraca (que não tem nada a ver com a tecnologia do validador). O problema só foi divulgado depois de solucionado. Provavelmente já foram descobertos e corrigidos vários pontos de falha. Quem trabalha com desenvovimento de produtos e/ou softwares, como é o meu caso, sabe que as sempre existentes falhas no projeto (não existe projeto perfeito, até Ferrari já teve que fazer recall) e novas tecnologias podem gerar disfunções e/ou permitir fraude no produto que já está no mercado. Por isso existe sempre a preocupação em detectar e corrigir esses problemas, mesmo sem a necessidade de que crackerzinhos (que são diferentes de hackers) fiquem se exibindo ridiculamente como se só eles soubessem fazer isso. A diferença é que o profissional sério detecta o problema e corrige, apenas isso! Ele não fica se vangloriando do feito… isso é muita mediocridade!

        • Leonardo

          O dia que você descobrir o significado de engenharia reversa, reveja seus conceitos sobre o que é um cracker :)

    • Leonardo

      Mauro você trabalhou para a SPTrans de graça?

      Te pergunto isso pois a empresa que estudou o bilhete para descobrir essa falha também não trabalharia, entenda que eles fizeram isso sem cobrar nada ($$) mas e ae? Eles são idiotas? Estudaram uma coisa pra não ganhar nada?

      É ai que entra a parte de “divulgar”, pois ja que não ganharam nada ($$) acho mais do que justo se vangloriarem sim, ganharem os créditos sim, pelo bom trabalho que a SPTrans deixou de fazer, pois se a falha com cartões deste tipo foi descoberta em outros países ja ha algum tempo, prq a equipe tão super competente como vc diz não corrigiu o problema?

      Sem mais

  • licia

    pelo preço abusivo do transporte de SP versus o serviço lixo que eles oferecem, eu adoraria ter o meu Bilhete Único “desbloqueado” e faria o mesmo pros meus amigos e familiares… Transporte de SP agora se preocupa porque mexeu no bolso deles. Melhorar as condições do transporte que é bom, nunca!

    • Rafael Oliveira

      Não que eu esteja totalmente em desacordo com sua opinião. De maneira alguma, pois o transporte publico não só em SP, mais em quase todo pais, é um lixo. Os passageiros são tratados como sardinhas.
      Mais convenhamos. Vamos supor que a maioria tenha essa ideia. Na contabilidade da empresa, um grande percentual de utilizadores não estaria mais andando de onibus (pois não estaria comprando creditos). Com isso, seria mais um motivo para aumentar o preço das passagens. Logo, quem não utiliza do metodo ilicito de circular com o transporte publico, e paga sua passagem, donas de casas, mães de familia, aqueles que trabalham o mês inteiro para receber um salario minimo, e parte do salario que recebem, teram de gastar com as passagens, vão ter de desembolaçar mais dinheiro, porque as passagem subiram de valor, ao inves de estar tentando alimentar sua familia. Dai ainda vamos nas ruas protestar contra o abuso da tarifa de onibus, sem saber que tem outros culpados por tras. Nos iremos não estaremos nos beneficiando em cima das empresas de onibus, e sim fazendo com que os mais necessitados do transporte, paguem para a gente andar de graça.

    • Mauro

      Aí já é um problema de gestão da SPTrans. O valor das tarifas é determinado por eles e pelos empresários de transposrte público. Vc sabia que 99% do transporte público no Brasil está nas mãos de basicamente 4 empresários? A tecnologia não tem nada a ver com isso!

  • @usuario_metro_sp

    Este tipo de falha tem de ser divulgado SIM porque somente desta maneira é que irá ser corrigido, se fosse apenas “avisado” aos responsáveis com certeza seria abafado e a falha ainda iria existir.

  • Ivoduran

    Ja era de se esperar uma brecha dessas na SPTrans, onde seus sistemas online só funcionam em internet explorer.

  • fabiana temotio

    Se clonam até cartão de crédito com chip com certeza um cartão sem muita segurança com apenas uma tarja de segurança não é confiável. Várias vezes já deu problema no meu cartão e tive que refazer os dados do cartão e pagar pelo serviço que a SPtrans não faz direito e quem sai lesado dessa história somos nós. Se tem gente fazendo isso com os cartões de bilhete único não seria a única fraude existente no país, onde tem moedas falsas, dinheiro em papel falso, bilhetes e ingressos de shows falsos, mesmo com tanta segurança não estamos seguros com esses serviços afinal nós estamos dependendo de máquinas que estão substituindo homens e estes são falhos.

Deixar comentário:

Leia | Política de Comentários.