home

Especialista descobre falhas e tem acesso ao sistema de bicicletas do Itaú


22 AGO, 2014     Péricles    



Renato Ribeiro é especialista em segurança e revelou que encontrou algumas falhas de segurança, de certa forma graves, no sistema de compartilhamento de bicicletas mantido pelo banco Itaú em Brasília, o Bike Brasília. As falha ocorreram quando o especialista resolveu testar a segurança do aplicativo utilizando o desbloqueio das bicicletas, desenvolvido pela empresa Serttel.

Confira vídeo


A primeira das falhas permitiu a ele criar uma sistema web para acessar o servidor do serviço e desbloquear as bicicletas sem o uso do aplicativo. Ribeiro afirma ainda que conseguiu explorar uma segunda falha diretamente no servidor da Serttel, que permitiu acessar informações sensíveis de usuários cadastrados no serviço. Quando explorada, o especialista teve acesso a informações como nome, telefone, data de nascimento, sexo, CPF e senha de cerca de 6 mil usuários.

"Mantive as informações 'pass number', que é algo que me permite retirar quantas bicicletas eu quiser", explicou ao Canaltech. "O resto eu deletei imediatamente por não ser o objetivo do meu teste". Com os pass numbers em mãos, Renato conseguiu desbloquear quantas bicicletas quisesse, se passando por outros usuários cadastrados.

Segundo ele, como o sistema usa uma criptografia "fraca", seria possível ainda a um atacante interceptar informações como dados de cartões de crédito de um usuário. Bastaria que o atacante estivesse conectado à mesma rede Wi-Fi que um usuário do aplicativo no momento de uma transação para liberar a bicicleta.

Fonte: Canal Tech
Matéria completa: http://canaltech.com.br/noticia/seguranca/Especialista-descobre-falha-e-consegue-acesso-a-sistema-de-bicicletas-do-Itau/


Comentários



Relacionados