Falha permite fraude no bilhete único pelo celular

Publicado em 23/03/2017 às 16h38

FONTE: O ESTADO DE S. PAULO

Falha permite fraude no bilhete único pelo celular

Estudante de Ciência da Computação afirma ter descoberto ‘chave’ que possibilita recarga sem pagamento quando pesquisava para TCC

Mariana Diegas e Bruno Ribeiro 

O Estado de S. Paulo

23 Março 2017 | 03h00 

Foto: HENRIQUE PINHEIRO/TV ESTADÃO
Falha permite fraude no bilhete único pelo celular

Teste. Santiago diz que só testou a brecha no cartão comum; ele conta ter procurado a SPTrans e a Rede Ponto Certo

Uma falha em um dos aplicativos de recarga do bilhete único permite que créditos do cartão sejam clonados com a ajuda de um celular. Um estudante de Ciência da Computação da capital afirma ter descoberto a brecha de segurança e alertado a São Paulo Transportes (SPTrans), mas a empresa se comprometeu a investigar o caso apenas após contato do Estado

Segundo o estudante Victor Santiago, de 23 anos, o aplicativo da Rede Ponto Certo, único programa homologado pela SPTrans para a recarga de créditos diretamente pelo celular, expõe as chaves de acesso (um código criptografado) para as informações do cartão. Com essas chaves, pessoas dispostas a fraudar o sistema conseguem alterar o saldo dos cartões.  

As fraudes do bilhete único preocupam a SPTrans. Em janeiro, a empresa informou o cancelamento de 90 mil cartões em 2016 por causa das irregularidades. O secretário municipal de Transportes, Sergio Avelleda, já disse que os golpes eletrônicos forçaram a empresa a elaborar um plano para a troca de todos os 15 milhões de bilhetes ativos a partir de maio. 

Santiago afirma ter se deparado com a falha de segurança enquanto pesquisava para seu Trabalho de Conclusão de Curso (TCC) na faculdade. “Queria fazer iniciação científica na área de segurança digital, mas perdi o prazo e continuei pesquisando por conta própria para ver se conseguia algo útil para o TCC.”

O rapaz conta ter percebido que, quando o aplicativo da Ponto Certo quer ler ou escrever no bilhete único, ele transfere as informações por NFC (tecnologia de transmissão de dados por aproximação) para o Android (o sistema operacional do celular). “Analisei os dados e encontrei as chaves que a aplicação estava usando para acessar o bilhete.”

Segundo o rapaz, com essa falha, é possível transferir o saldo de um cartão - que na verdade é um conjunto de códigos - e armazená-lo no celular. Depois, dá para “colar” esse código em outro cartão. O segundo cartão, que estava sem créditos, ficará com o saldo do cartão original. E é possível colar esses dados em um número infinito de cartões. Ele só testou a brecha no bilhete único comum.

‘Chave de porta’. Especialista em segurança de dados e criptografia, o professor de Ciência da Computação da Universidade de São Paulo (USP) Routo Terada explica que a chave que Santiago acessou é um número, mas que funciona como uma “chave de porta”, dando acesso a toda a memória do cartão. Quem tem essa chave pode fazer as alterações que desejar. “O fabricante do cartão tenta fazer a criptografia de forma relativamente segura, mas não muito cara. Se você quer que o cartão seja muito barato, o algoritmo será fraco e, portanto, com brechas.”

Ao entender que esse sistema abria uma brecha, Santiago conta ter procurado a SPTrans e a Rede Ponto Certo. Ele mostrou ao Estado cópias das mensagens, enviadas em dezembro. As empresas não o contataram na época para ter mais informações - a Ponto Certo, na resposta, agradeceu a mensagem e alegou que o sistema era seguro.

O membro da Comissão de Estudos de Infraestrutura do Instituto dos Advogados de São Paulo (Iasp), Rodrigo Mateus, alerta que as empresas podem ser responsabilizadas caso fique comprovado que não deram importância ao contato do estudante. “Os funcionários envolvidos podem responder por ilícito administrativo e prejuízos causados ao erário.”

Para o promotor de Justiça Roberto Porto, do Grupo Especial de Delitos Econômicos do Ministério Público Estadual, ex-controlador-geral do município, o fato de Santiago não ter descoberto a falha para ter vantagens financeiras dificulta qualquer tipo de responsabilização penal contra ele. Já quem quiser se aproveitar da brecha para viajar de graça cometeria o crime de estelionato - obter vantagem induzindo a SPTrans ao erro. “Ele avisou a empresa e o assunto tinha interesse jornalístico.” 

Todos os créditos carregados pelos passageiros do bilhete único são depositados em uma conta da SPTrans, chamada conta sistema. É com base nela que as empresas de ônibus, o Metrô e a Companhia Paulista de Trens Metropolitanos (CPTM) são remuneradas. Como há gratuidades, o valor da conta sistema é insuficiente para pagar todos os operadores. Assim, a Prefeitura deposita subsídios. Só neste ano, a previsão é de que esses depósitos, que saem do Tesouro municipal, cheguem a R$ 3 bilhões. Créditos clandestinos, como os apontados por Santiago, fazem com que o subsídio tenha de ser maior. 

SPTrans afirma que vai investigar suspeita de brecha

A São Paulo Transportes (SPTrans) afirma, em nota, que fará contato com o estudante Victor Santiago para se inteirar sobre a suspeita de fraude. “Obtidos os indispensáveis detalhes do procedimento invasivo, envolveremos a USP na avaliação de eventual falha no sistema operado pela mencionada rede.”

Ainda segundo a empresa, “caso seja comprovada alguma possibilidade de fraude, será adotada solução para correção da falha”. A SPTrans diz manter um processo “ininterrupto” de combate a fraudes. “A Secretaria de Mobilidade e Transportes trabalha em uma força-tarefa de combate às fraudes com as autoridades policiais, colaborando com todas as informações necessárias.”

A empresa afirma ainda que a Rede Ponto Certo - dona do aplicativo que, segundo o estudante, permite a falha - apresentou um atestado emitido pela USP garantindo a segurança do sistema. “Fazemos análises diárias sobre fraudes e não encontramos nenhuma evidência de que esse tipo de fraude tenha acontecido no sistema.”

Já a Rede Ponto Certo enviou ao Estado um atestado emitido em 2014 pela USP sobre a segurança do aplicativo. A empresa diz que seu aplicativo segue os padrões exigidos pela SPTrans, que foi homologado pela empresa e é atualizado constantemente.

A Ponto Certo afirma ainda que o aplicativo foi desenvolvido seguindo regras de criptografia do National Institute of Standards and Technology, dos Estados Unidos. 

http://sao-paulo.estadao.com.br/noticias/geral,falha-permite-fraude-no-bilhete-unico-pelo-celular,70001710375 

voltar para Notícias

left show fwR tsN bsd b02s|left tsN show fwB bsd b02s|left show tsN fwB normalcase|bnull||image-wrap|news fwB fwR normalcase tsN|fwR normalcase tsN fsN|b01 c05 bsd|login news fwR normalcase tsN|fwR normalcase tsN c15 bsd b01|normalcase tsN|content-inner||