Mercado abrirá em 1 h 56 min

Site da ViaQuatro vaza dados de 10 mil usuários da Linha 4 do Metrô de SP

Felipe Demartini

Uma falha no site da concessionária ViaQuatro foi responsável pela exposição dos dados pessoais de 10,7 mil usuários da Linha 4 do Metrô de São Paulo. O problema, mais especificamente, atinge os utilizadores dos bicicletários das estações, que precisam fazer um cadastro online para poderem utilizar o serviço.

Estavam visíveis publicamente informações como nome completo, RG, CPF, e-mail, datas de nascimento, endereços e números de telefone, além de, em alguns casos, a senha de acesso ao serviço. A ideia é que todos os cadastrados no sistema das estações da Linha 4 tiveram suas informações vazadas, uma vez que a falha exibe dados que datam de até agosto de 2016, quando o sistema de registro online foi lançado.

A falha aconteceu por uma vulnerabilidade na API do serviço, cuja URL estava disponível no código-fonte da página de cadastro disponibilizada pela ViaQuatro. A partir deste endereço, era possível não só acessar o banco de dados completo, como também exportar facilmente as informações.

Nomes completos, RGs, CPFs, e-mails, endereços e telefones estão entre as informaçÕes vazadas dos usuários dos bicicletários da Linha 4 do metrô de São Paulo (Imagem: Reprodução/The Hack)

Não se sabe por quanto tempo os cadastros ficaram disponíveis, com a falha tendo sido informada ao site The Hack no dia 23 de novembro por um coletivo chamado Cl0wnD4rk BlackHat Hackers. A ViaQuatro foi informada no dia seguinte e, de acordo com as informações do veículo, corrigiu o problema já nesta segunda-feira (25), fechando o acesso à API e, por consequência, também aos dados que estavam expostos.

Em nota, a concessionária confirmou a agilidade nas medidas para solução da vulnerabilidade e disse que a segurança das informações de seus usuários é prioridade. A ViaQuatro ainda afirmou estar trabalhando junto a seus fornecedores de tecnologia da informação para reforçar a proteção de seus sistemas. O site de cadastro para utilização do bicicletário também foi tirado do ar e permanece inacessível, assim como a própria API.

As tentativas de phishing são o principal meio usado por hackers que podem estar em posse dos dados para a prática de golpes. E-mails que fingem ser de empresas de serviços ou ligações solicitando dados bancários são métodos para obter dinheiro ou informações ainda mais sensíveis que possam ser usadas em novos golpes.

Além disso, as vítimas devem ficar atentas a comportamentos suspeitos em seus telefones celulares, com o WhatsApp podendo ser clonado a partir dos números vazados, e também para a possibilidade de ataques pessoais, uma vez que seus endereços residenciais acabaram expostos. Mantenha o desconfiômetro ligado e não aceite contatos de estranhos, mesmo que eles pareçam ter informações legítimas.


Fonte: Canaltech

Trending no Canaltech: