Dois especialistas em segurança na internet encontraram uma vulnerabilidade no sistema do Bilhete Único, cartão eletrônico que unifica toda a bilhetagem dos meios de transporte de São Paulo em um único dispositivo. A falha na criptografia dos cartões permite fraudar o bilhete e recarregá-los quantas vezes for necessário sem gastar nada. Os saldos anteriores depositados no Bilhete Único podem ser salvos por diversas vezes. A descoberta pode levar à troca de 25 milhões de bilhetes ativos ainda este ano.
A assessoria de imprensa da SPTtrans informou que foi aberta uma sindicância para investigar a possibilidade de fraudar o sistema a partir da brecha no armazenamento de dados. Gabriel Lima e Vinicius Camacho, pesquisadores que descobriram a falha, explicaram que este tipo de cartão já apresentou vulnerabilidade em países como Holanda e Estados Unidos, e por isso eles resolveram fazer o teste aqui no Brasil. Eles também garantiram à SPTrans que vão ajudar na pesquisa e não publicarão dados que permitam a reprodução do golpe.
Cada cartão do Bilhete Único possui uma criptografia que protege suas informações, entretanto, estas chaves de segurança seriam extremamente fracas. Com um software de quebra de criptografia, os rapazes conseguiram invadir o cartão e analisar como ele funcionava. Eles colocavam R$ 10, passavam pela catraca e, então, avaliavam como o sistema se comportava. Com o tempo conseguiram programar o cartão para salvar os saldos positivos anteriores e usá-los para passar pelas catracas.
Gabriel alerta para o fato de que conserto desta falha não será fácil de ser resolvido, já que todos os cartões teriam que ser mudados, pois o sistema de saldo do Bilhete Único fica instalado em cada cartão.