Falha em site de venda de ingressos expõe dados cadastrais
Ingresso.com mostra dados pessoais a qualquer internauta. Reclamações começaram no início da tarde desta sexta-feira (15).
O site de venda de ingressos Ingresso.com exibiu, ao longo desta sexta-feira (15), informações que aparentemente são de pessoas cadastradas no site. Reclamações sobre o vazamento de dados começaram a aparecer nas redes sociais no início da tarde.
"A Ingresso.com informa que houve uma falha no site e o problema foi solucionado", respondeu a empresa ao G1, às 19h21 desta sexta-feira.
O consumidor Wagner Junior, que teve seus dados e os dados de sua mãe expostos no site, informou ao G1, às 19h12, que não conseguia acessar seu perfil no Ingresso.com. “Não consigo acessar minha conta, quando consigo entrar na parte do login o site informa que minha conta não existe”, disse o usuário do Rio de Janeiro.
Wagner Junior fez um Registro de Ocorrência na 43ª Delegacia de Polícia do Rio de Janeiro na tarde de hoje e informou que pretende acionar a Ingresso.com. “Tenho mais 15 e-mails de pessoas que tiveram acesso à minha conta. Vamos ver como entrar com um processo conjunto contra a Ingresso.com”, disse.
Conforme alertaram usuários no Twitter, no início da tarde, além de mostrar dados da conta do usuário do site Ingresso.com, era possível visualizar quais foram as últimas compras e até imprimir ingressos.
Os números de CPF e de telefone exibidos nas telas de cadastro são aparentemente verdadeiros. Os números de CPF constam no site da Receita Federal com os mesmos nomes do cadastro do Ingresso.com e os telefones são atendidos por pessoas que confirmam estar cadastradas no site.
Entenda a falha
"Essa é considerada a segunda falha mais comum em sites de internet no ranking mantido pela OWASP, uma organização de especialistas em falhas na web", afirma o especialista em segurança e colunista do G1, Altieres Rohr.
Conforme explica Rohr, a falha envolve o controle de sessão do site. "Quando fazemos o login em um site, a página atribui ao navegador um código ligado ao usuário, que não pode ser adivinhado. Todas as páginas que dependem do login devem verificar esse código, num processo que é chamado de controle de sessão. A programação do site está com algum defeito que não verifica a presença do código, deixando internautas diretamente logados na conta de outra pessoa".
Ainda segundo o especialista, mesmo quando há problemas no controle de sessão, um site bem programado deve apresentar um defeito diferente: o de impedir que o usuário faça login na página. "Também faz parte das práticas de programação segura a criação de uma lógica na qual as falhas tenham o menor impacto possível", afirma.
Nenhum comentário
Postar um comentário