Uma falha presente no site oficial da ViaQuatro, concessionária responsável pela administração da Linha 4-Amarela do Metrô de São Paulo, acabou expondo dados pessoais de aproximadamente 10.720 usuários do transporte público paulistano, apurou a The Hack com exclusividade. A falha foi denunciada por membros do coletivo Cl0wnD4rk BlackHat Hackers no sábado (23) e confirmada por nossa equipe no domingo (24).
O problema estava na página utilizada para realizar o pré-cadastro de utilização dos bicicletários das estações — desde 2016, o uso de tais espaços é restrito a quem estiver devidamente registrado no sistema da ViaQuatro. O problema é que, ao analisar o código fonte do site em questão, era possível encontrar a URL da API, que estava totalmente aberta e pública, permitindo o acesso ao banco de dados de todos os usuários registrados.
![](https://thehack.com.br/content/images/2019/11/bicicletarios1.png)
Ao validar a falha, a The Hack foi capaz de verificar um total de 10.720 cadastros, sendo que o mais antigo datava de 08 de agosto de 2016 (quando o sistema foi ao ar) e o mais recente era de 24 de novembro de 2019 (justamente a data em que os testes técnicos foram realizados). Isso significa que a API esteve registrando publicamente dados pessoais dos usuários desde que foi inaugurada e permaneceu expondo-os durante três anos.
![](https://thehack.com.br/content/images/2019/11/bicicletarios2_censored-1.jpg)
Quais informações vazaram?
As informações expostas incluem nome completo, RG, CPF, CPF, email, data de nascimento, número do telefone e endereço completo com CEP. Em alguns casos, também encontramos o campo “senha”. Visto que tais dados são estruturados de forma organizada, um agente malicioso teria facilidade em exportá-los como um arquivo JSON e explorar o database de maneira intuitiva usando softwares adequados para visualizar tal tipo de arquivo.
![](https://thehack.com.br/content/images/2019/11/bicicletario3_censored.jpg)
De posse de tais informações, qualquer criminoso cibernético poderia facilmente elaborar campanhas de phishing altamente customizadas, se passando — por exemplo — pela própria ViaQuatro e disparando emails fraudulentos para os usuários dos bicicletários. Além disso, os dados cadastrais podem ser empregados para golpes diversos que envolvam falsificação ideológica.
O que foi feito?
Notificada pela The Hack já no dia 24, a ViaQuatro foi ágil em responder o nosso contato e consertou o problema na segunda-feira (25). Confira abaixo o comunicado oficial da concessionária:
“A ViaQuatro, concessionária responsável pela operação e manutenção da Linha 4 – Amarela de Metrô de São Paulo, informa que tomou ciência hoje de um possível potencial risco de exposição de dados cadastrais de alguns usuários do serviço de bicicletário. A concessionária informa que imediatamente retirou do ar o serviço de pré-cadastramento de seu website.
A ViaQuatro reitera que preza por padrões de segurança da informação, prática essa constantemente revisada em suas políticas e procedimentos internos de segurança, e está trabalhando junto ao fornecedor de tecnologia da informação para o reforço de seu sistema de segurança da informação.”
No momento em que esta reportagem foi escrita, a página de pré-cadastro continuava fora do ar e a API estava devidamente fechada. Porém, é impossível saber quantas pessoas tiveram acesso ao banco de dados ao longo dos três anos em que ele permaneceu aberto.
- Leia mais notícias sobre Vazamentos.