Uma falha presente no site oficial da ViaQuatro, concessionária responsável pela administração da Linha 4-Amarela do Metrô de São Paulo, acabou expondo dados pessoais de aproximadamente 10.720 usuários do transporte público paulistano, apurou a The Hack com exclusividade. A falha foi denunciada por membros do coletivo Cl0wnD4rk BlackHat Hackers no sábado (23) e confirmada por nossa equipe no domingo (24).
O problema estava na página utilizada para realizar o pré-cadastro de utilização dos bicicletários das estações — desde 2016, o uso de tais espaços é restrito a quem estiver devidamente registrado no sistema da ViaQuatro. O problema é que, ao analisar o código fonte do site em questão, era possível encontrar a URL da API, que estava totalmente aberta e pública, permitindo o acesso ao banco de dados de todos os usuários registrados.
Ao validar a falha, a The Hack foi capaz de verificar um total de 10.720 cadastros, sendo que o mais antigo datava de 08 de agosto de 2016 (quando o sistema foi ao ar) e o mais recente era de 24 de novembro de 2019 (justamente a data em que os testes técnicos foram realizados). Isso significa que a API esteve registrando publicamente dados pessoais dos usuários desde que foi inaugurada e permaneceu expondo-os durante três anos.
Quais informações vazaram?
As informações expostas incluem nome completo, RG, CPF, CPF, email, data de nascimento, número do telefone e endereço completo com CEP. Em alguns casos, também encontramos o campo “senha”. Visto que tais dados são estruturados de forma organizada, um agente malicioso teria facilidade em exportá-los como um arquivo JSON e explorar o database de maneira intuitiva usando softwares adequados para visualizar tal tipo de arquivo.
De posse de tais informações, qualquer criminoso cibernético poderia facilmente elaborar campanhas de phishing altamente customizadas, se passando — por exemplo — pela própria ViaQuatro e disparando emails fraudulentos para os usuários dos bicicletários. Além disso, os dados cadastrais podem ser empregados para golpes diversos que envolvam falsificação ideológica.
O que foi feito?
Notificada pela The Hack já no dia 24, a ViaQuatro foi ágil em responder o nosso contato e consertou o problema na segunda-feira (25). Confira abaixo o comunicado oficial da concessionária:
“A ViaQuatro, concessionária responsável pela operação e manutenção da Linha 4 – Amarela de Metrô de São Paulo, informa que tomou ciência hoje de um possível potencial risco de exposição de dados cadastrais de alguns usuários do serviço de bicicletário. A concessionária informa que imediatamente retirou do ar o serviço de pré-cadastramento de seu website.
A ViaQuatro reitera que preza por padrões de segurança da informação, prática essa constantemente revisada em suas políticas e procedimentos internos de segurança, e está trabalhando junto ao fornecedor de tecnologia da informação para o reforço de seu sistema de segurança da informação.”
No momento em que esta reportagem foi escrita, a página de pré-cadastro continuava fora do ar e a API estava devidamente fechada. Porém, é impossível saber quantas pessoas tiveram acesso ao banco de dados ao longo dos três anos em que ele permaneceu aberto.
- Leia mais notícias sobre Vazamentos.