Brecha foi descoberta por estudante de Ciência da Computação em TCC
ADAMO BAZANI
Com informações O ESTADO de SÃO PAULO
O início do ano foi marcado para os passageiros de ônibus da capital paulista que usam o Bilhete Único, também aceito nos trens da CPTM e no Metrô, por longas filas no posto da SPTrans, na região central.
Isso porque, a gerenciadora teve de bloquear mais de 9 mil cartões por causa de fraudes detectadas no sistema. Desde o ano passado, foram 90 mil bloqueios.
Os créditos comprados não iam para a conta da SPTrans e, consequentemente, para as empresas transportadoras e sistema como um todo.
Hoje o jornal Estado de São Paulo, pelos repórteres Bruno Ribeiro e Mariana Diegues, mostra a história um estudante de Ciência da Computação que conseguiu detectar uma brecha no sistema.
De acordo com estudante Victor Santiago, de 23 anos, o aplicativo da Rede Ponto Certo, o único programa aprovado pela SPTrans para recarga de créditos pelo celular, expõe chaves de acesso, uma espécie de código criptografado, para informações do cartão.
Com esses dados, é possível fraudar o sistema, alterar o saldo e transferir créditos – tudo pelo celular.
A fragilidade do sistema, segundo o estudante à reportagem, foi descoberta quando ele fazia pesquisas para seu TCC – Trabalho de Conclusão de Curso.
O estudante percebeu que quando aplicativo da Rede Ponto Certo vai ler ou depositar dados no Bilhete Único, passa as informações por tecnologia de transmissão de dados por aproximação – NFC para o Android, que é o sistema operacional do celular.
Nesse processo, é possível encontrar as chaves para acessar o sistema do Bilhete Único.
O saldo do cartão, por exemplo, é um conjunto de códigos. É possível então transferir esses dados para o celular, armazenar no aparelho e depois “colar” esse código em outro cartão.
Pronto, a fraude está feita!
O segundo cartão, sem créditos, pode ficar com saldo do cartão original.
É possível fazer essa operação para um número infinito de cartões, ou seja, por um único cartão com créditos reais, é possível criar créditos para quantos cartões o fraudador quiser.
O estudante fez este teste com um Bilhete Único Comum.
A reportagem conversou com especialistas em segurança de dados e criptografia que confirmaram a possibilidade e disseram que essa chave de acesso é um número, mas funciona com uma chave de porta, dando acesso a toda memória do cartão.
NÃO RECEBEU IMPORTÂNCIA:
O estudante disse que em dezembro enviou mensagens à SPTrans e à Rede Ponto Certo.
A Rede Ponto Certo apenas respondeu agradecendo a mensagem, alegando que o sistema é seguro.
O jornal também conversou com membro da Comissão de Estudos e Infraestrutura do Instituto de Advogados de São Paulo – Iasp, Rodrigo Mateus, que disse que as empresas, tanto SPTrans como Rede Ponto Certo, podem ser punidas caso fique comprovado que não deram importância ao contato do estudante.
Já o promotor de justiça, Roberto Porto, do Grupo Especial de Delitos Econômicos do Ministério Público Estadual, que foi controlador-geral do município, disse que o estudante não descobriu a falha para obter vantagens financeiras e isso não deve resultar em punição para ele.
Em nota, a SPTrans afirmou que fará contato agora com o estudante para se investigar sobre a suspeita de fraude e, caso comprovada a possibilidade, serão adotadas medidas para correção.
A Secretaria de Transportes e Mobilidade também afirmou que trabalha em força-tarefa para combater fraudes junto com as autoridades policiais. Já Rede Ponto Certo informou que faz análises diárias sobre fraudes e não identificou que esse tipo de relato do estudante tem acontecido no sistema. Acrescentou e que o aplicativo segue regras de criptografia internacionais.
Adamo Bazani, jornalista especializado em transportes