Segundo eles, a falha permite que um software restaure valores antigos do bilhete indefinidamente. É possível, por exemplo, carregar R$ 10 e, após usar R$ 3 numa viagem (preço da passagem de ônibus na cidade), restaurar o valor de R$ 10 com a ajuda de um computador.
De acordo com Gabriel Coutinho de Lima, de 21 anos, sócio da empresa, a descoberta da falha ocorreu após os sócios começarem a testar o sistema da SPTrans. Eles se inspiraram em ações semelhantes realizadas por especialistas em sistemas e hackers em várias cidades do mundo em 2008. Naquele ano, de acordo com Coutinho, a SPTrans afirmou que não era possível que isso ocorresse com o Bilhete Único de São Paulo porque o sistema de criptografia (proteção de dados) usado aqui era mais eficiente do que o utilizado fora do país.
Assim mesmo, os sócios decidiram testar o sistema. No começo, eles tentaram simplesmente alterar os dados do cartão tentando colocar um saldo maior, mas não tiveram sucesso. Ao restaurar dados que já haviam sido gravados no Bilhete Único anteriormente, porém, eles descobriram a falha.
Coutinho afirma que o trabalho de "quebrar a segurança" do cartão durou três semanas.
Outro lado
O outro sócio da empresa de segurança da informação, Vinicius Max, disse que na última terça-feira (7), técnicos da SP Trans foram até seu escritório para verificar a veracidade da falha.
Segundo Max, após questionarem a fraude, eles concluiram que o sistema têm uma falha.
- Eles recarregaram aqui, foram até a catraca e conseguiram subtrair o valor do cartão. Logo depois, vieram novamente, recarregaram R$ 15 e constataram que o leitor leu. Eles repetiram a operação mais uma vez para não haver dúvidas de que é possível fraudar o bilhete.
Max diz que sua empresa tem um vídeo com todos os detalhes técnicos e as ferramentas usadas para operação, mas não divulgará para "evitar que ele seja usado de forma indevida".
Em nota, a empresa municipal que "abriu uma sindicância para investigar a possibilidade de tentativa de fraude contra o sistema do Bilhete Único" e que a investigação deverá estar concluída em 30 dias.
Fonte: R7
Curta a página do Diário da CPTM no facebook