O site da ViaQuatro, responsável pela Linha 4-Amarela do metrô paulistano, apresentou uma falha perigosa. De acordo com uma apuração do The Hack, foram mais de 10.720 pessoas afetadas por um vazamento de dados pessoais. O problema foi anunciado por membros do coletivo Cl0wnD4rk BlackHat Hackers no sábado (23).

O defeito foi identificado na sessão de pré-cadastro para utilizar os bicicletários das estações. Para utilizar o serviço, o indivíduo necessita desse registro, implementado em 2016. No entanto, ao analisar o código fonte do processo, foi identificada a URL da API, que estava aberta ao público e disponível para acesso de terceiros.

Ao entrar no sistema, nota-se que existem 10.720 cadastros desde 8 de agosto de 2016, quando a medida foi implementada. Ou seja, até o dia da descoberta do erro, são 10.720 pessoas afetadas e com dados vazados nos últimos 3 anos. 

Dentre as informações solicitadas no pré-cadastro, estão: nome completo, RG, CPF, e-mail, data de nascimento, número de telefone e endereço completo com CEP. Esses dados conseguem ser reutilizados por hackers para autenticação em outros sistemas.

E não só isso… A senha da própria ViaQuatro estava visível. Qualquer criminoso cibernético poderia simplesmente utilizar a conta ou o nome da empresa para fazer o que quiser.

Notificada pela The Hack no domingo (24), a concessionária foi ágil e consertou o erro na segunda-feira (25).

Confira o comunicado oficial:

“A ViaQuatro, concessionária responsável pela operação e manutenção da Linha 4 – Amarela de Metrô de São Paulo, informa que tomou ciência hoje de um possível potencial risco de exposição de dados cadastrais de alguns usuários do serviço de bicicletário. A concessionária informa que imediatamente retirou do ar o serviço de pré-cadastramento de seu website.

A ViaQuatro reitera que preza por padrões de segurança da informação, prática essa constantemente revisada em suas políticas e procedimentos internos de segurança, e está trabalhando junto ao fornecedor de tecnologia da informação para o reforço de seu sistema de segurança da informação”.