Falha no sistema do Bilhete Único possibilita fraude até mesmo pelo celular

Brecha foi descoberta por estudante de Ciência da Computação em TCC

ADAMO BAZANI

Com informações O ESTADO de SÃO PAULO

O início do ano foi marcado para os passageiros de ônibus da capital paulista que usam o Bilhete Único, também aceito nos trens da CPTM e no Metrô, por longas filas no posto da SPTrans, na região central.

Isso porque, a gerenciadora teve de bloquear mais de 9 mil cartões por causa de fraudes detectadas no sistema. Desde o ano passado, foram 90 mil bloqueios.

Os créditos comprados não iam para a conta da SPTrans e, consequentemente, para as empresas transportadoras e sistema como um todo.

Hoje o jornal Estado de São Paulo, pelos repórteres Bruno Ribeiro e Mariana Diegues, mostra a história um estudante de Ciência da Computação que conseguiu detectar uma brecha no sistema.

De acordo com estudante Victor Santiago, de 23 anos, o aplicativo da Rede Ponto Certo, o único programa aprovado pela SPTrans para recarga de créditos pelo celular, expõe chaves de acesso, uma espécie de código criptografado, para informações do cartão.

Com esses dados, é possível fraudar o sistema, alterar o saldo e transferir créditos – tudo pelo celular.

A fragilidade do sistema, segundo o estudante à reportagem, foi descoberta quando ele fazia pesquisas para seu TCC – Trabalho de Conclusão de Curso.

O estudante percebeu que quando aplicativo da Rede Ponto Certo vai ler ou depositar dados no Bilhete Único, passa as informações por tecnologia de transmissão de dados por aproximação – NFC para o Android, que é o sistema operacional do celular.

Nesse processo, é possível encontrar as chaves para acessar o sistema do Bilhete Único.

O saldo do cartão, por exemplo, é um conjunto de códigos. É possível então transferir esses dados para o celular, armazenar no aparelho e depois “colar” esse código em outro cartão.

Pronto, a fraude está feita!

O segundo cartão, sem créditos, pode ficar com saldo do cartão original.

É possível fazer essa operação para um número infinito de cartões, ou seja, por um único cartão com créditos reais, é possível criar créditos para quantos cartões o fraudador quiser.

O estudante fez este teste com um Bilhete Único Comum.

A reportagem conversou com especialistas em segurança de dados e criptografia que confirmaram a possibilidade e disseram que essa chave de acesso é um número, mas funciona com uma chave de porta, dando acesso a toda memória do cartão.

NÃO RECEBEU IMPORTÂNCIA:

O estudante disse que em dezembro enviou mensagens à SPTrans e à Rede Ponto Certo.

A Rede Ponto Certo apenas respondeu agradecendo a mensagem, alegando que o sistema é seguro.

O jornal também conversou com membro da Comissão de Estudos e Infraestrutura do Instituto de Advogados de São Paulo – Iasp, Rodrigo Mateus, que disse que as empresas, tanto SPTrans como Rede Ponto Certo, podem ser punidas caso fique comprovado que não deram importância ao contato do estudante.

Já o promotor de justiça, Roberto Porto, do Grupo Especial de Delitos Econômicos do Ministério Público Estadual, que foi controlador-geral do município, disse que o estudante não descobriu a falha para obter vantagens financeiras e isso não deve resultar em punição para ele.

Em nota, a SPTrans afirmou que fará contato agora com o estudante para se investigar sobre a suspeita de fraude e, caso comprovada a possibilidade, serão adotadas medidas para correção.

A Secretaria de Transportes e Mobilidade também afirmou que trabalha em força-tarefa para combater fraudes junto com as autoridades policiais. Já Rede Ponto Certo informou que faz análises diárias sobre fraudes e não identificou que esse tipo de relato do estudante tem acontecido no sistema. Acrescentou e que o aplicativo segue regras de criptografia internacionais.

Adamo Bazani, jornalista especializado em transportes

5 comentários em Falha no sistema do Bilhete Único possibilita fraude até mesmo pelo celular

  1. olha um dia participei de uma reunião sobre uso irregular de cartão de idoso, fiquei decepcionado. O representante da SPTRANS, deu um monte de desculpas, me pareceu que não ligam pro assunto não.

  2. Amigos, boa noite.

    A qual instituicao o aluno pertence ???

    Ha algum tempo ja comentei aqui no Diario, que eu nao entendo o saldo do meu BU e suspeoto de algo errado.

    Mas como nao sei onde e como obter um extrato, nao posso provar.

    Mas o TCC do aluno comprpvou.

    O que tenho como prpvar e ja postei aqui no Diario e que ao bloquear no 156 o meu BU que foi roubado, fui informado que bastava ir a um posto da fiscalizadora que eu teria o BU e o saldo restituido.

    Ledo engan8, fui no Terminal Pinheiros e fui obrigado a comprar um BU novo e indiretamente e sem eu pedir me fize4am 9agar R$ 19,00 + ou – de carga.

    Ja protocolei no SAC da PMSP a restituicao, ja enviei carta a SMT e a fiscaluzadora, mas a5e hoje, NADA, nem resposta muito menos solucao.

    Bom agora ta provado que tem gato nessa tumba.

    E mais um forte cheiro de xixi na frente dos guiches blindados da fiscalizadora no Terminal Pinheiros.

    E agora ????

    Tai tudo na berlinda.

    Recorrer pra quem ?????

    Se todos se fingem de surdos.

    MP da para resolver este embroglio ????

    Parabens Vitor Santiago, nota 10 com louvor e merecedor de uma homenagem pelo bem que vc fez aos contribuintes.

    Sera que e so erro ou ta tudo errado no buzao de Eampa ????

    Att,

    Paulo Gil

  3. Estão fugindo da realidade, piada.

  4. Oi Ádamo, suas matérias são excelentes , quero parabenizá-lo !

    Estou concluindo um TCC, sobre tecnologia , e o transporte público é o foco.
    Preciso da sua ajuda.

    Quanto é o custo mensal de um ônibus coletivo para o transporte público em Mogi das Cruzes?

    Qual a extensão total em Km, das linhas para o transporte coletivo em Mogi das Cuzes?

    Obrigado pela ajuda,

Deixe uma resposta

%d blogueiros gostam disto: