Sptrans Bilhete Unico

SPTrans corrige falha que dava acesso a dados do Bilhete Único

A falha foi informada com e-mail à empresa em outubro, mas só foi corrigida após o dia 6 de dezembro
Da Redação
09/12/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A SPTrans aparentemente corrigiu em seus sistemas, entre o dia 6 de dezembro e o dia 9 de dezembro, uma falha que dava acesso aos dados do Bilhete Único, utilizado no transporte público da região metropolitana de São Paulo. A falha foi informada pelo pesquisador Mateus Veras (@T_virussss) com e-mail à empresa em outubro, mas segundo ele não houve resposta. No dia 6 de dezembro, o pesquisador publicou o vídeo com a prova de conceito da falha (assista abaixo). Hoje Veras informou que a falha foi finalmente corrigida.

A falha apontada está no Struts 2 do servidor Apache (http/https), uma plataforma de código aberto utilizada para o desenvolvimento de aplicações Java EE (enterprise edition).

Veja isso
Equifax faz acordo por vazamento de dados, mas prejuízo é bilionário
Quase 7 milhões de registros atribuídos à SPTrans na dark web

Essa falha é uma das 70 já detectadas nessa plataforma, e que foram corrigidas versão após versão. Essa não é a primeira apontada por usuários e pesquisadores no site da SPTrans e em particular no sistema de consulta do Bilhete Único. Ao publicar o vídeo com a vulnerabilidade após dois meses aguardando resposta da SPTrans, Veras decidiu publicar a prova de conceito como alerta para os usuários. Após esse fato a empresa finalmente corrigiu o problema.

Ao fazer a publicação do vídeo, Veras assinalou: “Esta publicação foi feita com base na ISO/IEC 29147:2018. Este documento fornece requisitos e recomendações para fornecedores sobre a divulgação de vulnerabilidades em produtos e serviços. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A falha foi reportada via email com 2 meses foi corrigida, até o momento não responderam o email mas foi corrigida.”

O pesquisador acrescentou um link com explicações sobre o funcionamento da falha e outro para a ferramenta utilizada na prova de conceito.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório