Breaking News

99Taxis corrige falha que permitia cobrar corridas de outros usuários

A 99Taxis corrigiu uma brecha no sistema usado por seu aplicativo que permitia manipular a cobrança das corridas, de modo que um usuário mal-intencionado seria capaz de redirecionar suas cobranças para outros usuários, mesmo que não tivesse autorização para isso.


Segundo a desenvolvedora do aplicativo, o problema foi eliminado na quinta-feira passada (12). Em comunicado, a 99Taxis afirmou que "nenhum prejuízo ou reclamação de cobrança indevida relacionada a este incidente foi relatada pelos usuários ou constada pela empresa".

O pesquisador de segurança Igor Rincon descobriu o problema e avisou a companhia por e-mail e telefone no dia 5 de outubro. Ele disse que pretendia vir a público com o problema no dia 24. Como a empresa não corrigiu a falha, ele aumentou o prazo para o dia 12 de novembro, quando os detalhes técnicos foram apresentados em uma palestra no evento de segurança Roadsec, em São Paulo. Depois, as informações foram colocadas no blog do pesquisador.

Rincon contou ao blog Segurança Digital que testou a falha com a colaboração de um amigo, Filipi Pires, que permitiu o uso de sua conta do 99Taxis em um experimento que comprovou a vulnerabilidade: R$ 9 foram cobrados diretamente de Pires. Apesar da gravidade do problema, o especialista explicou que só poderia ser vítima do golpe quem gravou no aplicativo algum dado de cobrança como PayPal ou vouchers, pois somente dessa maneira a cobrança poderia ser feita de maneira automática.

A 99Taxis agradeceu ao pesquisador por ter relatado a falha. "Estamos abertos a novas colaborações para constante melhoria da nossa plataforma", disse a empresa.

Problema cultural
Segundo Rincon, a 99Taxis tem "excelentes programadores", mas, para ele, há um problema cultural nos desenvolvedores de aplicativos para celular no Brasil. A falta de auditoria nos códigos acaba deixando passar problemas como esse. Outra dificuldade está na receptividade das empresas – o especialista diz que só realmente conseguiu a atenção da 99Taxis quando decidiu divulgar publicamente a existência da falha.

O pesquisador sugere que empresas brasileiras adotem a prática de "bug bounty", em que a desenvolvedora do software paga por colaborações de segurança feitas por pesquisadores independentes. A prática já é adotada por empresas como Microsoft, Google e Facebook. "Talvez essa seja uma boa forma de abrir um caminho para pesquisadores que estejam com algo em mãos", afirmou.

Fonte: G1

Nenhum comentário

imagem de uma pessoa em frente a tela no notebook com a logo do serviço balcão virtual. Ao lado a frase indicando que o serviço