sexta-feira, 12 de setembro de 2014

Brechas em sistema de aluguel de bicicletas expuseram dados de usuários

É o caso dos Bike Sampa, Bike Rio e derivados espalhados pelo Brasil, todos patrocinados pelo Itaú e apoiados pelas prefeituras

 / Info Online 10 Setembro de 2014 - 17:09Foto: Marcelo Camargo / Agência Brasil

A prefeitura de São Paulo pretende construir, até o final de 2015, pelo menos 400 Km de ciclofaixas, colocando a capital paulista no páreo com Rio de Janeiro e Brasília, por exemplo. Essas iniciativas públicas, que visam incentivar o “abandono” de carros e uma eventual melhora no trânsito, colaboram também para a consolidação de iniciativas privadas.
É o caso dos Bike Sampa, Bike Rio e derivados espalhados pelo Brasil, todos patrocinados pelo Itaú e apoiados pelas prefeituras. Dada a simplicidade, os projetos são dos mais louváveis quando o assunto é mobilidade urbana: basta fazer um cadastro rápido pelo celular e pagar uma quantia relativamente baixa para alugar e usar uma bicicleta por uma hora ou mais. Mas não é só com motoristas ensandecidos, "inimigos" das ciclofaixas, que os ciclistas que aproveitarem as bikes precisarão se preocupar. As informações fornecidas por eles no registro também correm seus riscos.
Falhas nas aplicações mencionadas, todas mantidas e desenvolvidas pela empresa pernambucana Serttel, foram descobertas no final de julho por Renato Ribeiro, especialista em segurança envolvido na área há 15 anos e usuário do sistema Bike Brasília na capital federal – onde anda de bicicleta para espairecer e dar um tempo na vida de home office. O também empreendedor e pesquisador achou vulnerabilidades que permitiam, entre outros problemas, liberar bicicletas dos terminais sem a necessidade de cadastro e pagamento, usando para isso um código atribuído a cada uma delas.
O pior de todos, no entanto, não afetava diretamente as bikes, e sim os clientes do Itaú: uma brecha no banco de dados da empresa responsável pelos apps deixava expostos os dados de mais de 1,2 milhão de pessoas registradas. Os cadastros, em maioria, se limitavam a nome, sobrenome e telefone, mas em alguns casos podiam incluir endereço físico completo, e-mail e alguns outros dados, como as senhas que davam acesso a ainda mais informações (em alguns casos, o CPF, por exemplo) se usadas para fazer login no site da iniciativa Mobilicidade.
Como é de praxe no ramo, Ribeiro informou a empresa sobre a existência de algumas dessas vulnerabilidades no sistema já no final de julho deste ano. Mas as primeiras tentativas de comunicação não foram bem sucedidas, e as falhas seguiram abertas durante mais de um mês antes de serem quase todas corrigidas – provando que, definitivamente, nenhum sistema é 100% seguro, como já disse a INFO Mikko Hyppönen, da F-Secure.
Além disso, provocaram um enorme desentendimento entre os dois lados, que pode culminar em um processo contra o especialista em segurança, que acusa a empresa de irresponsabilidade, mas, por outro lado, é acusado de agir de má fé. Essa história, bem mais longa do que parece, envolve ainda mais desentendimentos, trocas de acusações entre os dois lados e falhas de privacidade.
As descobertas e os primeiros contatos
Também envolvido na área de comunicação, Ribeiro resolveu analisar os aplicativos da iniciativa de aluguel de bikes no dia 24 de julho, como contou ele mesmo a INFO, em conversas por telefone e e-mail. A ideia era escrever um artigo sobre segurança para suceder um que havia publicado no começo de março deste ano no site MacMagazine, em que já afirmava ter encontrado falhas e alertava sobre brechas em apps brasileiros populares da App Store do iOS – o que já mostra por quanto tempo as falhas ficaram abertas.
Em pouco tempo de análise, Ribeiro encontrou uma série de vulnerabilidades, e já no dia seguinte tentou entrar em contato com a empresa. Para isso, encontrou o perfil do CEO da Serttel, Ângelo Leite, no LinkedIn e enviou a ele uma mensagem. No texto, checado pela reportagem, ele alertava sobre os problemas – sem especificá-los, no entanto –, colocava-se à disposição para ajudar (inclusive viajando à Recife e ministrando treinamentos para a equipe de desenvolvimento) e informava que tinha a intenção de usar o caso para ilustrar seu artigo, publicado no dia 5 de agosto.
A resposta, porém, não veio. Três dias depois, o especialista tentou novamente, mas desta vez enviando por e-mail a mesma mensagem, também vista pela reportagem, ao executivo da companhia. Ficando novamente sem um retorno, Ribeiro fez ainda uma nova tentativa já no dia seguinte, 29 de julho, colando desta vez no corpo da mensagem um link para um vídeo, compartilhado até então de forma privada com a empresa.
O clipe, que se tornou público quando o artigo foi publicado, mostra o especialista explorando uma das falhas descobertas e corrigidas – mais precisamente a que o permitia liberar as bicicletas sem um cadastro. “No mesmo dia, o diretor de TI entrou em contato comigo fazendo um convite para apoiá-los em assuntos relacionados à segurança – e solicitando uma proposta”, contou Ribeiro, que deu continuidade à conversa com a companhia a partir daí.
Já no dia 30 de julho, a tal proposta foi enviada, “deixando claro que o trabalho seria preventivo, evitando possíveis problemas futuros”, segundo o especialista. Ou seja, ao menos aparentemente, a ideia era ajudá-los a corrigir as brechas e, caso aceitassem o orçamento, ministrar treinamentos voltados à segurança para a área de desenvolvimento da empresa. O retorno, porém, mais uma vez não veio, mesmo com os avisos de que o vídeo e o artigo sobre as brechas no sistema de aluguel de bikes seriam publicados no dia 5 seguinte.
Nos dias 2 e 4 de agosto, Ribeiro afirma que tentou entrar em contato com a assessoria do Itaú e informar novamente a Serttel de que o texto seria publicado e o vídeo com as brechas, divulgado – mas em nenhum dos casos obteve respostas. O que viu, posteriormente, foi apenas um posicionamento oficial emitido pelo banco, com algumas más notícias. O texto, divulgado sem que as empresas questionassem exatamente quais eram as brechas citadas pelo especialista, também foi enviado a INFO e está reproduzido abaixo.
“O Itaú esclarece que os dados confidenciais dos usuários do Bike Brasilia não foram expostos em nenhum momento e permanecem em segurança. Já a Serttel, empresa responsável pela criação, viabilização e operação do projeto de compartilhamento de bicicletas, reforça que um indivíduo realizou uma espionagem, forjando alguns dos mecanismos de segurança do sistema e desenvolveu, sem autorização do titular do dispositivo, uma página web para simular a operação do sistema e com isso retirar mais de uma bicicleta. A Serttel está tomando as devidas providencias legais cabíveis.”
Dadas as repercussões do artigo e do próprio vídeo, o especialista tentou um último contato com a empresa pernambucana. No e-mail, mostrado à reportagem por Ribeiro e pela Serttel, ele tenta esclarecer os possíveis mal-entendidos, contando que a proposta comercial – que viria a causar a maior parte dos problemas, como depois contou o CEO da empresa – foi enviada paralelamente ao alerta sobre as falhas encontradas. A mensagem, segundo explicou o especialista, que a rastreou, chegou a ser repassada internamente. Mas a companhia novamente não respondeu.
A versão e o lado da Serttel
Em uma primeira tentativa de contato com a Serttel, a reportagem de INFO acabou redirecionada para a assessoria do Itaú, que enviou o posicionamento já citado após também negar por telefone a existência das falhas. As conversas com Ribeiro, no entanto, deixaram claro que várias das brechas mencionadas no clipe já publicado continuavam abertas. Foi então que outro analista de segurança, que pediu para não ser identificado, relatou que havia registrado em vídeo outros dois problemas – e enviou, por e-mail, as duas capturas, de pouco mais de um minuto cada.
Uma das falhas mostradas por ele, corrigida mais rapidamente pela Serttel, permitia a execução de scripts nos campos de cadastro. A outra, por sua vez, era uma das principais mencionadas por Ribeiro no polêmico vídeo: a que permitia a um invasor obter os dados e as senhas dos usuários do sistema no qual é baseado o projeto de empréstimo de bicicletas.
O procedimento registrado pelo segundo analista não era dos mais complexos. O invasor precisava apenas acessar a própria página de dados – preenchida com informações falsas, para “facilitar” – e mudar alguns pontos na requisição. A alteração provocava um erro no cadastro, e bastava voltar usando o comando do próprio navegador para abrir a tela com as informações de outros usuários, incluindo telefones, e-mail e, em alguns casos, endereço – um prato cheio para redes de spammers.
A partir disso, um simples “Inspecionar elemento” sobre o campo de senha ainda revelava a combinação de seis dígitos numéricos, colocados em plain text no código da aplicação online. A senha podia ser usada na página da Mobilicidade, iniciativa do projeto, para, possivelmente, ter acesso a ainda mais dados, como CPF – que, apesar de tudo, não é exigido no cadastro, como veio a explicar Ângelo Leite, o CEO da Serttel.
Com essas informações em mãos, a reportagem retomou o contato com a empresa de Pernambuco. Um e-mail foi enviado diretamente ao executivo, solicitando alguns esclarecimentos, que vieram em uma ligação recebida dois dias depois, em 26 de agosto. Naquela primeira conversa, Leite recontou a história, dizendo que a área de tecnologia da companhia havia analisado as falhas mencionadas por Ribeiro, mas recusado a proposta enviada depois por ele – alta demais, na casa dos 100 mil reais, para algo que ainda consideraram antiético da parte do especialista.
“Fizemos um B.O. na delegacia porque ele havia invadido o sistema e cobrado para resolver”, disse o executivo, se referindo ao acordo financeiro que o analista diz ter feito a pedido da própria empresa. O CEO da Serttel reforçou o posicionamento do Itaú ao dizer que os dados estavam seguros, mas também afirmou desconhecer a falha de exposição mostrada à reportagem pelo segundo analista de segurança. Os dois vídeos, então, foram enviados a Leite.
(Foto: Kelsen Fernandes / Fotos Públicas)
O início do fim
Após ver que brechas ainda existiam, o executivo conversou com INFO novamente, desta vez na sede da Serttel em São Paulo. “Essa história tem tirado a gente do sério, trabalhamos 24 horas por dia nos últimos 15 dias”, disse, visivelmente mais preocupado do que no telefonema de três dias antes. Leite explicou o tipo de contrato que a empresa tem com o Itaú e afirmou que a equipe pensava já ter resolvido todas as falhas. “Mas quando recebemos o material, fomos olhar e realmente havia uma brecha no acesso à tela de usuário”, dando acesso aos dados já mencionados, como nome, telefone, e-mail e até CPF.
Segundo o CEO, a brecha foi fechada no mesmo dia, ao fim de agosto, mas ele mesmo não soube precisar exatamente quantas pessoas tiveram os dados acessados – e não vazados, como fez questão de ressaltar. Nas palavras do executivo, um mapeamento detectou a conexão de três IPs ao banco de dados, sendo dois ligados a Ribeiro – e a um suposto script usado para acessar a brecha continuamente, que só parou quando a falha foi corrigida – e o terceiro possivelmente relacionado ao outro analista ouvido pela reportagem.
Dada a incerteza, Leite apenas estimou que algo em torno de 1.000 ou 2.000 usuários tiveram as informações ao menos acessadas pelo “robô”, que executou cerca de 7.000 operações enquanto seguiu ativo. É um número pequeno se comparado ao da base instalada de 1,2 milhão de clientes cadastrados no Mobilicidade, nas palavras do CEO. E os dados contidos nos cadastros, conforme acredita o executivo, não são exatamente desconhecidos – e “já foram vazados de algum lugar”, afirmou. “Eu consigo essa base de dados que ele baixou se eu entrar na internet”, disse, para tentar minimizar o problema.
Ainda assim, o CEO admitiu que a empresa descuidou na parte de segurança, e que talvez pudesse ter tomado mais cuidado – algo que não é exatamente incomum, como já explicou um executivo da McAfee em entrevista dada a INFO. “Não estávamos esperando que algo assim acontecesse, foi nossa primeira vez”, afirmou Leite. Mas a empresa pretende melhorar neste aspecto.
O executivo mencionou o canal de comunicação que já existe na companhia e é usado para receber reclamações e afirmou que o sistema de senhas – que exige hoje apenas seis números, como forma de não excluir quem usa o sistema pelo celular – deve mudar, por exemplo. Além disso, citou até a eventual criação de um programa de “bug bounty”, como o adotado por marcas de fora, como Facebook e Google, para premiar os responsável por encontrar falhas. Mas são planos para o futuro.
Por ora, o executivo afirmou que a empresa realmente encontrou “um canal de acesso construído em cima da base, na página de alteração de dados de usuário”. Segundo ele, por essa brecha, “caso alguém tentasse alterar as próprias informações, poderia provocar um erro e visualizar os dados de outra pessoa”. “Identificamos um script tentando fazer isso, mas o bloqueamos e garantimos que, hoje, isso já não pode mais acontecer”, afirmou. E completou: “Pela quantidade de transações feitas pelo robô, estimamos que 1.000 ou 2.000 usuários foram afetados, uma quantidade de dados ínfima se comparada à nossa base total, que é de 1,2 milhão de cadastros”.
Leite ainda garantiu que nenhuma informação financeira foi acessada, já que a empresa não as guarda, e que os usuários que tiveram dados acessados terão que confirmá-los, como forma de prevenção. Por fim, a empresa considera mandar e-mails para as pessoas atingidas pelo robô, pedindo para que troquem as próprias senhas. Mas a operação pode ser complicada, já que o número de atingidos, apenas estimado pela Serttel, é bem maior, segundo Ribeiro.
(Foto: Marcelo Camargo / Agência Brasil)
Comunicação problemática
Das falhas mencionadas pelo especialista, uma boa parte parece ter sido corrigida, mas ele mesmo alerta que ainda há outras que precisam de atenção e mais cuidado. Só que, como deu para notar, os problemas não ficaram apenas nas aplicações desenvolvidas pela Serttel. A comunicação entre os dois lados trouxe vários desentendimentos, com o especialista acusando a empresa de irresponsabilidade, por ter deixado as falhas abertas por tanto tempo, e a empresa acusando o especialista de não agir de forma correta, oferecendo cursos e acessando os dados com scripts.
Mas é visível que erros foram cometidos por ambos, como explicou o analista de segurança Gustavo Lima, também consultado por INFO. “Ele [Ribeiro] não deveria ter oferecido treinamentos logo de cara”, disse, referindo-se também às propostas tratadas nas conversas. “Mas a empresa também parece não ter feito os testes corretos no desenvolvimento da aplicação.”
E a Dra. Gisele Truzzi, advogada especialista em direito digital, completa as explicações. Em relação à abordagem de Ribeiro, “a conduta do especialista foi adequada enquanto alertou a empresa sobre as vulnerabilidades e se colocou à disposição para auxiliar a solucioná-las”. No entanto, mesmo que o analista tenha negado a associação da oferta com o aviso, “oferecer cursos ou vender serviços, vinculando isso à solução dos problemas, não deveria ter sido mencionado em um primeiro contato”. “Mas a conduta não configura estelionato ou qualquer tipo de crime, até este ponto.”
A história muda caso os dados acessados pelo suposto script forem mantidos por Ribeiro, mesmo que para ser usados como provas em um eventual processo. “Não é ético armazenar quaisquer dados obtidos em decorrência dessas falhas, após contato com a empresa responsável, independentemente do desfecho da história”, afirmou a advogada. “Após comunicar o fato à empresa responsável, o especialista deve sempre limpar os HDs e materiais relacionados.”
Já sobre a responsabilidade da Serttel na correção das falhas, Gisele diz que “a empresa pode ter sido omissa nesse ponto, mas é importante analisarmos sob a ótica dela: negar a existência dos problemas ou não questioná-los pode ter sido uma estratégia adotada para evitar maiores discussões sobre as falhas, abafando o assunto”. Quanto a uma eventual “culpa” do Itaú, envolvido financeiramente no projeto, ela afirma: “A empresa desenvolvedora das aplicações onde estavam as falhas [a Serttel, no caso] é a responsável pelo ocorrido. O banco não tem ligação com isso, pois somente é um financiador do projeto”.
Por fim, quanto ao caso de as acusações pararem no tribunal, o CEO da Serttel afirmou, na última conversa com INFO, que ainda estava estudando a possibilidade. No entanto, chegou a mencionar uma possível solução “amigável” à situação. “Queremos até conversar [com o Renato], porque ficou ruim para nós e para ele”, declarou o executivo – embora as últimas tentativas de conversa feitas por Ribeiro não tenham rendido uma resposta.
http://www.tribunahoje.com/noticia/116684/tecnologia/2014/09/10/brechas-em-sistema-de-aluguel-de-bicicletas-expuseram-dados-de-usuarios.html

Nenhum comentário: