O especialista em segurança Renato Ribeiro revelou que encontrou uma série de falhas de segurança consideradas “graves” no sistema de compartilhamento de bicicletas de Brasília, o Bike Brasília. As falhas foram encontradas há cerca de duas semanas, quando Ribeiro resolveu testar a segurança do aplicativo utilizado para o desbloqueio das bicicletas, desenvolvido pela empresa Serttel.
A primeira das falhas permitiu a ele criar uma sistema web para acessar o servidor do serviço e desbloquear as bicicletas sem o uso do aplicativo. Ribeiro afirma ainda que conseguiu explorar uma segunda falha diretamente no servidor da Serttel, que permitiu acessar informações sensíveis de usuários cadastrados no serviço. Quando explorada, o especialista teve acesso a informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários.
“Mantive as informações ‘pass number’, que é algo que me permite retirar quantas bicicletas eu quiser”, explicou ao Canaltech. “O resto eu deletei imediatamente por não ser o objetivo do meu teste”. Com os pass numbers em mãos, Renato conseguiu desbloquear quantas bicicletas quisesse, se passando por outros usuários cadastrados.
Segundo ele, como o sistema usa uma criptografia “fraca”, seria possível ainda a um atacante interceptar informações como dados de cartões de crédito de um usuário. Bastaria que o atacante estivesse conectado à mesma rede que um usuário do aplicativo no momento de uma transação para liberar a bicicleta.
Logo que descobriu as vulnerabilidades, o especialista disse ter entrado em contato com a empresa para que elas fossem corrigidas, no último dia 23 de julho. De acordo com ele, a empresa não respondeu ao contato inicial. Na semana passada, o especialista resolveu então publicar um vídeo no qual mostra a vulnerabilidade do sistema – só então teria recebido o contato da Serttel.
Vídeo:
De acordo com o especialista, a ideia para testar o sistema surgiu após um experimento que ele fez no ano passado, quando reuniu 50 aplicativos brasileiros para iOS e testou suas opções de segurança. A experiência resultou em um artigo, no qual Ribeiro afirma que, do total, 42 dos apps possuiam algum tipo de falha.
Agora, a escolha da análise do Bike Brasília veio pela popularidade do app. “Eu queria saber se o desenvolvedor levou a sério, a bicicleta é um projeto de destaque”, disse.
Posicionamento – Após ser questionada sobre as falhas encontradas, a empresa responsável pelo aplicativo do Bike Brasília informou que “um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do sistema desenvolvido pela empresa e com isso retirar mais de uma bicicleta”.
A empresa também afirmou que está tomando providências “legais e cabíveis” em relação ao caso, e que os dados dos usuários do sistema foram “preservados e permanecem em segurança”.
Fonte: Canal Tech