Aplicação dos transportes do Porto pirateada levou a “reforço de segurança”

A aplicação Anda, que permite usar o título de transporte Andante no telemóvel, foi alvo de um ataque informático “amigável” que permitiu acesso a dados pessoais de utilizadores, levando a Transportes Intermodais do Porto a “reforçar” a segurança.

Numa página na Internet, um engenheiro informático revela detalhadamente como conseguiu ser hacker (pirata informático) do sistema Anda, acedendo a dados pessoais, palavras-chave ou informação parcial sobre números de cartões de crédito dos utilizadores da aplicação que entrou em funcionamento no fim de junho para “desmaterializar” a cobrança de bilhetes nos transportes públicos do Grande Porto.

A intenção do engenheiro era detetar a “vulnerabilidade”, pelo que a mesma foi logo comunicada à empresa e já foi corrigida.

Contactada esta segunda-feira pela Lusa, a Transportes Intermodais do Porto (TIP) disse estar em causa um “ataque amistoso” que abriu “a oportunidade de refinar e reforçar os mecanismos internos de segurança”.

“Foi um “ataque-amistoso”, de elevado grau de sofisticação (muito pouco acessível ao cidadão comum), destinado fundamentalmente a expor uma potencial fragilidade e, como tal, sem consequências funestas. Acabou por abrir a oportunidade de refinar e reforçar os mecanismos internos de segurança”, reagiu a TIP, em declarações à Lusa.

Fonte da empresa acrescenta que “o reforço dos mecanismos internos de segurança foi executado de imediato, logo após a identificação do problema, tendo sido objeto de posteriores aperfeiçoamentos, até 22 de outubro”.

“A app Anda e a respetiva arquitetura de suporte, possuem, desde o seu lançamento, diversas medidas de segurança que visam a deteção de potenciais tentativas de intrusão ou utilização indevida, como mandam as boas práticas de sistemas tão expostos como os baseados em smartphones”, observa fonte da TIP.

Na publicação feita na terça-feira, o engenheiro informático revela que, no dia 4 de julho, informou a empresa da “vulnerabilidade” encontrada na aplicação. Acrescenta também que, a 11 de julho, as palavras-chave dos utilizadores já não estavam “disponíveis em texto simples”.

O engenheiro detalha ainda que, a 9 de setembro, foi disponibilizada uma nova versão da aplicação mais segura e que, na terça-feira, foi encerrado o modelo mais antigo e vulnerável do sistema.

De acordo com o especialista, “menos de uma semana” depois do lançamento público, a aplicação tinha “mais de dez mil instalações”, nas quais era possível “ver dados pessoais de qualquer utilizador, incluindo o nome, morada, os últimos quatro dígitos do cartão de crédito, número de telefone e número de contribuinte”. Para além disso, “era possível ler a palavra-chave de qualquer utilizador”.

A aplicação Anda – disponível para Android – é um título Andante desmaterializado, que evita preocupações com o tipo de viagens a comprar e que foi criado pela TIP (entidade formada pelo Metro, STCP e CP e que gere o sistema de bilhética Andante).