pessoas cadastradas no serviço (Foto: Reprodução/
Ingresso.com)
O site de venda de ingressos Ingresso.com exibiu, ao longo desta sexta-feira (15), informações que aparentemente são de pessoas cadastradas no site. Reclamações sobre o vazamento de dados começaram a aparecer nas redes sociais no início da tarde.
Procurada pelo G1, a empresa Ingresso.com não havia dado uma posição a respeito do problema até a última atualização desta reportagem. Por volta das 16h, o site passou a apresentar instabilidade e uma mensagem de erro.
Ao navegar no site, é possível visualizar dados como nome completo, números de documentos, endereço e telefone de pessoas.
Conforme alertam usuários no Twitter, além de mostrar dados da conta do usuário do site Ingresso.com, é possível visualizar quais foram as últimas compras e até imprimir ingressos.
Os números de CPF e de telefone exibidos nas telas de cadastro são aparentemente verdadeiros. Os números de CPF constam no site da Receita Federal com os mesmos nomes do cadastro do Ingresso.com e os telefones são atendidos por pessoas que confirmam estar cadastradas no site.
Entenda a falha
“Essa é considerada a segunda falha mais comum em sites de internet no ranking mantido pela OWASP, uma organização de especialistas em falhas na web”, afirma o especialista em segurança e colunista do G1, Altieres Rohr.
Conforme explica Rohr, a falha envolve o controle de sessão do site. “Quando fazemos o login em um site, a página atribui ao navegador um código ligado ao usuário, que não pode ser adivinhado. Todas as páginas que dependem do login devem verificar esse código, num processo que é chamado de controle de sessão. A programação do site está com algum defeito que não verifica a presença do código, deixando internautas diretamente logados na conta de outra pessoa”.
Ainda segundo o especialista, mesmo quando há problemas no controle de sessão, um site bem programado deve apresentar um defeito diferente: o de impedir que o usuário faça login na página. “Também faz parte das práticas de programação segura a criação de uma lógica na qual as falhas tenham o menor impacto possível”, afirma.
WhatsApp apresenta erro e deixa de mostrar status ‘online’ e ‘digitando’
99 Pop, ‘concorrente do Uber’, chega a Assis
Confira dicas importantes para manter sua privacidade online
Xiaomi anuncia smartphone com tela também na parte traseira
Saiba como recuperar dados com o EaseUS Data Recovery