Ontem a SPTrans, responsável pelo sistema público de transporte coletivo de São Paulo, entrou em alerta, cortesia dos pesquisadores da empresa Pontosec que relataram uma monumental falha no sistema de Bilhete Único. Sem divulgar detalhes, eles disseram que encontraram um meio de copiar créditos em um cartão e dessa forma podem usar o transporte sem pagar.

Até ontem a falha não era divulgada, mas hoje um texto no Pastie.org diz exatamente o que a SPTrans não queria que dissesse.

Para quem não mora em SP, eis uma explicação breve do sistema Bilhete Único: trata-se de um cartão que contém créditos para serem usados nos meios de transporte público da região metropolitana. Várias cidades ao redor do Brasil e do mundo implementam algo assim: já vi e usei em Vitória, Belo Horizonte e Rio de Janeiro. Aqui em São Paulo SPTrans diz que o sistema é infalível há 7 anos, até agora.

Mas não é exatamente assim. Ao menos para mim, a falha de segurança não é uma novidade: há meses conversei com amigos que não só têm acesso à tecnologia de leitura e gravação de cartões desse tipo no Brasil como também tem o conhecimento para usá-la para fins pouco legítimos (embora eles me garantiram que não usam). Eles me mostraram como conseguiram fazer o dump dos valores de um cartão e gravá-lo em outro com extrema facilidade. A informação bate com o texto colado no Pastie.org.

A falha no sistema usado pela SPTrans era conhecida há pelo menos um ano, mas somente agora com a sua divulgação o órgão decidiu tomar alguma atitude. E isso infelizmente condiz com a realidade no Brasil, em que as empresas responsáveis por esse tipo de serviço parecem se preocupar pouco com a segurança e integridade dos dados. A SPTrans pelo menos já sabe o que fazer e deve trocar os 25 milhões de bilhetes nas mãos dos usuários dentro de 30 dias, embora não tenha certeza da logística de como isso deve acontecer.

Espero que a divulgação dessa falha sirva de alerta para que as demais empresas percebam que é melhor corrigir logo as falhas de um sistema inseguro do que perder dinheiro. Ao todo, o sistema do Bilhete Único gera R$ 310 milhões por mês aos cofres da cidade e do estado. Mas com a divulgação dessa falha, a possibilidade de pessoas mais espertas conseguirem andar de graça pelo metrô e ônibus de SP aumenta. E muito.

Dica do Felipe Cepriano (@felipecn) no Twitter. Valeu, Felipe!

Relacionados

Escrito por

Rafael Silva

Rafael Silva

Ex-autor

Rafael Silva estudou Tecnologia de Redes de Computadores e mora em São Paulo. Como redator, produziu textos sobre smartphones, games, notícias e tecnologia, além de participar dos primeiros podcasts do Tecnoblog. Foi redator no B9 e atualmente é analista de redes sociais no Greenpeace, onde desenvolve estratégias de engajamento, produz roteiros e apresenta o podcast “As Árvores Somos Nozes”.