Aplicação do Andante divulgou dados pessoais e passwords de utilizadores

Falhas de segurança na aplicação do Andante permitiam saber nome, morada, últimos 4 dígitos do cartão de cidadão, telefone e número de contribuinte.

Andante, o título de transporte intermodal para viagens na área do Grande Porto, foi lançado em junho. Falhas de segurança descobertas pelo engenheiro de software Gustavo Silva levaram, entretanto, à descoberta de uma comunicação entre a aplicação e o sistema de transportes mal efetuada, revalou o Tugaleaks esta semana.

LEIA MAIS: Encontrada a causa que provoca os engarrafamentos quando não há acidentes

Mas os riscos de segurança «estavam e estiveram presentes durante vários meses». Apenas «cinco dias depois do lançamento oficial», a 4 de julho, Gustavo Silva divulgou «as vulnerabilidades junto da empresa». Três dias depois, a 7 de julho, a empresa reconheceu a vulnerabilidade. Mas foi apenas a 9 de setembro, dois meses depois, que «todas as falhas de segurança foram corrigidas». No entanto, as passwords deixaram de ser vistas em texto simples poucos dias depois da divulgação da informação, ainda em junho.

Falhas Andante permitiam saber nome, morada, últimos 4 dígitos do cartão de cidadão, telefone e número de contribuinte

As falhas na aplicação Anda, disponível para Android, «permitiam saber nome, morada, últimos 4 dígitos do cartão de cidadão, telefone e número de contribuinte». Permitiam ainda «ver as passwords sem estarem devidamente encriptadas». O problema «residia na API» (Application Programming Interface). Ou seja, «na comunicação com a interface que faz a gestão das validações e na forma como trocava dados com a aplicação». Essa troca «era muitas vezes insegura», pode ler-se no blogue do engenheiro de software Gustavo Silva.

Ataque de «elevado grau de sofisticação»

Fonte dos Transportes Ferroviários do Porto confirma que o ataque foi «‘amistoso’» e de «elevado grau de sofisticação». este tipo de ataques destina-se, por norma, «a expor uma potencial fragilidade e, como tal, sem consequências funestas». Este ataque «acabou por abrir a oportunidade de refinar e reforçar os mecanismos internos de segurança».

LEIA MAIS: Médica extrai moeda ingerida por menino e vídeo torna-se viral

Sobre o atraso em colocar a nova versão da app disponível aos utilizadores, a mesma fonte adianta que «o reforço dos mecanismos internos de segurança foi executado de imediato, logo após a identificação do problema». Depois, terá sido «objeto de posteriores aperfeiçoamentos». Grande parte do tempo que mediou a identificação e esta configuração atual «teve que ver com os cuidados necessários para implementar e difundir modificações complexas em sistemas em funcionamento ao público.» A mesma fonte garante que «o cuidado e o empenho estão sempre presentes nestas matérias». E que «a capacidade de melhorar também»…

Tem a aplicação do Andante? Saiba o que fazer agora

O primeiro passo para restabelecer a segurança da sua aplicação Anda é alterar de imediato a password. Pode também consultar o site have i been pwned e confirmar se o seu e-mail foi afetado noutros problemas de segurança. Quanto à app, está agora «mais segura, sendo que, como bem elucida fonte dos Transportes Ferroviários do Porto, «não é possível garantir que algo está resolvido em definitivo», frisando sempre «o clima de melhoramento contínuo».

LEIA MAIS: Morreu antigo jogador do FC Porto

Quanto ao autor da investigação de segurança levada a cabo, Gustavo Silva diz ser ele próprio «utilizador da aplicação». Acredita «que a ideia por detrás da mesma é muito boa e muito útil». «Assim que grande parte destas falhas iniciais sejam ultrapassadas, o Anda poderá ser um bom passo para o futuro a nível de mobilidade», considera o engenheiro de software.

LEIA MAIS: Adolescente pede à Justiça para ser tutor do irmão após morte trágica dos pais

Siga a Impala no Instagram

Impala Instagram


RELACIONADOS

Aplicação do Andante divulgou dados pessoais e passwords de utilizadores

Falhas de segurança na aplicação do Andante permitiam saber nome, morada, últimos 4 dígitos do cartão de cidadão, telefone e número de contribuinte.