SPTrans expõe dados de 37 milhões de usuários do transporte em SP

1 min de leitura
Imagem de: SPTrans expõe dados de 37 milhões de usuários do transporte em SP
Avatar do autor

Uma vulnerabilidade no sistema da companhia de transporte público SPTrans pode ter exposto dados sensíveis de mais de 37 milhões de usuários do Bilhete Único. Publicada pelo site Olhar Digital na quarta-feira (8), a denúncia foi relatada por um profissional de segurança identificado como 'Moscow'.

Entre os dados que poderiam ser obtidos, estão fotos, datas de nascimento, CPF, RG, endereço físico, filiação, sexo, telefone, naturalidade e estado civil. Em nota, a SPTrans informou que "já solicitou à empresa responsável pelo data center que averigue a questão em caráter de urgência".

O bilhete único é o cartão individual usado para pagar tarifas no transporte público da cidade de São Paulo. A falha de segurança, citada como "extremamente simples" por Moscow, permitia trocar a senha da conta de uma pessoa usando dados como CPF ou RG.

Descoberta há uma semana, a vulnerabilidade também pode ser explorada por força bruta. Ela consiste em realizar um alto volume de tentativas de acessar um sistema por segundo, até que que o próprio permita o acesso. Neste caso, Moscow relata que é preciso do número de CPF de uma vítima. "Alguns poucos meses seriam suficientes para recolher os quase 40 milhões de cadastrados, além disso, os custos não são altos", disse.

O problema com os dados seria parte da vulnerabilidade descoberta. Um ataque de negação de serviço também pode acabar prejudicando os sistemas da companhia. "Nessa falha há dois efeitos colaterais, a disponibilidade e a confidencialidade, todos os pilares da segurança da informação são comprometidos", afirmou, relembrando que isto poderia ser usado para trocar os dados dos usuários.

Comentários

Conteúdo disponível somente online
SPTrans expõe dados de 37 milhões de usuários do transporte em SP