Falha em site de venda de ingressos expõe dados cadastrais

Ingresso.com mostra dados pessoais a qualquer internauta. Reclamações começaram no início da tarde desta sexta-feira (15).

Falha no site Ingresso.com expõe dados de
pessoas cadastradas no serviço (Foto: Reprodução/
Ingresso.com)

O site de venda de ingressos Ingresso.com exibiu, ao longo desta sexta-feira (15), informações que aparentemente são de pessoas cadastradas no site. Reclamações sobre o vazamento de dados começaram a aparecer nas redes sociais no início da tarde.

Procurada pelo G1, a empresa Ingresso.com não havia dado uma posição a respeito do problema até a última atualização desta reportagem. Por volta das 16h, o site passou a apresentar instabilidade e uma mensagem de erro.

Ao navegar no site, é possível visualizar dados como nome completo, números de documentos, endereço e telefone de pessoas.

Conforme alertam usuários no Twitter, além de mostrar dados da conta do usuário do site Ingresso.com, é possível visualizar quais foram as últimas compras e até imprimir ingressos.

Os números de CPF e de telefone exibidos nas telas de cadastro são aparentemente verdadeiros. Os números de CPF constam no site da Receita Federal com os mesmos nomes do cadastro do Ingresso.com e os telefones são atendidos por pessoas que confirmam estar cadastradas no site.

Entenda a falha
“Essa é considerada a segunda falha mais comum em sites de internet no ranking mantido pela OWASP, uma organização de especialistas em falhas na web”, afirma o especialista em segurança e colunista do G1, Altieres Rohr.

Conforme explica Rohr, a falha envolve o controle de sessão do site. “Quando fazemos o login em um site, a página atribui ao navegador um código ligado ao usuário, que não pode ser adivinhado. Todas as páginas que dependem do login devem verificar esse código, num processo que é chamado de controle de sessão. A programação do site está com algum defeito que não verifica a presença do código, deixando internautas diretamente logados na conta de outra pessoa”.

Ainda segundo o especialista, mesmo quando há problemas no controle de sessão, um site bem programado deve apresentar um defeito diferente: o de impedir que o usuário faça login na página. “Também faz parte das práticas de programação segura a criação de uma lógica na qual as falhas tenham o menor impacto possível”, afirma.

Usuários escreveram em microblog que não conseguiam imprimir ingressos e que dados cadastrais de terceiros estavam expostos (Foto: Reprodução/Twitter)

#MAIS LIDAS DA SEMANA