0
0
Falha sistema da SPTrans expõe base de dados do Bilhete Único. Vulnerabilidade de segurança permite a qualquer um invadir o sistema e ter acesso à base de dados de usuários de Bilhete Único.
Na quarta-feira, dia 08 de junho, o Olhar Digital publicou uma denúncia sobre uma falha de segurança que permite a qualquer um obter dados sensíveis – fotos e dados cadastrais como CPF, RG, endereço físico completo, filiação, sexo, telefone, data de nascimento, naturalidade e estado civil – de quase 37 milhões de usuários do Bilhete Único, pertencente à SPTrans, empresa responsável pelo gerenciamento do transporte coletivo da cidade de São Paulo.
A falha relatada pelo profissional de segurança da informação, identificado como Moscow, é mais um caso que implica em risco à integridade, disponibilidade e confidencialidade – três pilares básicos da segurança da informação. Além dos pontos colocados por Moscow, caso haja o vazamento a empresa também estaria violando critérios da LGPD e, caso está já estivesse em vigor, a SPTrans poderia receber severas sansões e multas devido ao problema relatado.
Segundo o Olhar Digital, Moscow afirma que é “extremamente simples” obter os dados dos usuários cadastrados no sistema da São Paulo Transportes. Segundo Moscow, o atacante precisaria apenas do CPF e RG da vítima para ter acesso irrestrito aos dados sensíveis dos usuários, além da possibilidade de trocar a senha sem mesmo ter conhecimento dela. A descoberta aconteceu por acaso, há uma semana apenas, sendo a fonte uma das cadastradas no sistema da própria SPTrans. Após o conhecimento da falha, entrou em contato com a empresa, mas não obteve retorno.
Cadastro de um dos 36.730.912 usuários do Bilhete Único pode ser acessado sem a necessidade de senha. Fonte: Olhar Digital
Moscow ainda contou ao Olhar Digital que o problema já é considerado uma falha de segurança. Entretanto, ele vai além, e diz que uma segunda falha, que permite “força bruta” (algoritmo de uso muito geral de “tentativa e erro”) do RG, também é possível. Nesta, o atacante só precisaria do CPF do usuário, documento considerado fácil de ser encontrado na web; isso seria suficiente para acessar os dados de qualquer cadastrado, além de outras ações já relatadas anteriormente. Apenas com uma ferramenta gratuita, que trabalha com centenas de tentativas por segundo, uma conexão rápida de internet e um servidor dedicado, o ritmo de tentativas poderia ser triplicado, facilitando o acesso aos dados de milhares de pessoas. “Alguns poucos meses seriam suficientes para recolher os quase 40 milhões de cadastrados, além disso, os custos não são altos“, afirma.
A falha permite a troca de senha sem a necessidade de resposta das questões pessoais solicitadas pelo sistema da empresa. Imagem: Olhar DigitalTela capturada após modificar a senha do usuário, sem precisar responder às questões “obrigatórias” solicitadas pelo sistema da SPTrans. Imagem: Olhar DigitalAlém do vazamento de dados, outro efeito é a negação de serviço – se o atacante modificar a senha de todos os usuários, isso impedirá que todos acessem o serviço quando necessário. “Nessa falha há dois efeitos colaterais, a disponibilidade e a confidencialidade, todos os pilares da segurança da informação são comprometidos, junto à integridade, já que em posse da senha, é possível trocar os dados“, comenta a fonte. Em nota ao Olhar Digital, “a SPTrans informa que, em virtude da denúncia publicada na matéria de título “Site da SPTrans expõe dados sensíveis de quase 37 milhões de usuários do Bilhete Único”, já solicitou à empresa responsável pelo data center que averigue a questão em caráter de urgência” Não é a Primeira Vez!Em 2013, o Olhar Digital noticiou outro caso de vulnerabilidade de segurança, a qual permitia a qualquer um invadir o sistema e ter acesso à base de dados da mesma empresa. Na época, a brecha havia sido encontrada por um leitor e notificada à SPTrans pela nossa reportagem, entretanto, a responsável pela gestão de bilhetagem de transportes coletivos da capital negou a exposição das informações. Vale lembrar que no ano anterior, o cartão já tinha sido apontado como “infalível” desde 2006, sendo fonte de uma receita de quase R$ 310 milhões por mês, segundo informações do jornal Estadão. Em 2018 o Defcon Lab detectou sucessivas publicações no site de compartilhamento de texto Pastebin que podem indicar compromentimento de serviços do Município de Recife/PE e a SP Trans (empresa de transporte coletivo de São Paulo).No caso do SP Trans a publicação apresenta extrato de um banco de dados da empresa, com a indicação de um registro e os nomes dos campos da tabela.
fonte Defcon Lab
O alerta sugere que o comprometimento do servidor foi pleno e permitiria o seu controle total (root?). “O servidor esta totalmente comprometido e os dados acima que foram uma pequena parte extraida. A vulnerabilidade da controle total ao sistema e ao próprio servidor em questão.“, afirmou o Defcon na época.
FONTE: MINUTO DA SEGURANÇA