Segurança da Ingresso.com é questionada. Foto: divulgação.
Um especialista em tecnologia da informação divulgou esta semana uma lista de falhas de segurança no site do serviço Ingresso.com, que podem acarretar possíveis riscos para as informações dos clientes e do serviço oferecido.
Segundo divulgado no blog do desenvolvedor Marco Agner, foram encontradas falhas críticas no portal da companhia. A mais grave é a baixa encriptação de informações principais dos usuários, como F e RG.
De acordo com Agner, o site, que no Brasil é um dos maiores no segmento de compra de ingressos, peca em usar o padrão plain text para armazenar as senhas dos usuários, sem qualquer tipo de encriptação para proteger estas informações na base de dados do site.
"Quando um website guarda as suas senhas no formato em que você escreveu no banco de dados é a mesma coisa que guardar a sua senha e ficar esperando alguém simplesmente pegar ela como está para usar - seja alguém mal-intencionado de dentro ou alguém de fora que se aproveite de diversas possíveis falhas a serem exploradas", dispara o programador.
Segundo Agner, que é desenvolvedor Java na Vtex, no Rio de Janeiro, enquanto as senhas ficarem armazenadas em plain text nos servidores da Ingresso.com, não existe combinação segura para qualquer cliente.
No entanto, para o especialista, o problema mais grave é outro. Ilustrando com o exemplo de uma compra efetuada pelo serviço, ele usou a URL de um link de ingresso recebido.
Conforme ele explica, a "id" do ingresso contida na URL podia ser dividida em quatro partes numéricas, cuja primeira e ultima parte são, respectivamente, o dia e a hora em que a compra do ingresso foi efetuada.
"Logo em seguida, achei o número que realmente importava: o terceiro. Ao alterar ele, infelizmente, tive um outro ingresso diferente aberto contendo os dados de outra pessoa e pronto para uso. Mas, até então, eu estava com o segundo e terceiro números ligados como um só ainda. E aqui está como descobri do que se tratava este terceiro número. Daí para frente, eu podia ignorar todos os outros números e usar apenas o "envetInfo" no "id" da URL para requisitar outros ingressos sem nenhuma restrição", revela Agner.
Conforme explica o blogueiro, por esta falha usuários mal intencionados podem desde conseguir ingressos de forma ilegal até práticas mais graves, como conseguir números de F e RG de outros clientes.
Agner relaciona a falha citada com o incidente recente dos ingressos da Copa, em que vários clientes da Ingresso.com receberam um email em nome da empresa avisando de um suposto sorteio de ingressos para um jogo do Brasil na Copa de 2014.
Para aumentar a autenticidade e enganar os clientes, os responsáveis pelo crime digital usaram dados cadastrais privadas dos usuários, como o nome completo, números do F e RG e endereço.
A partir desse contato, que convencia as vítimas devido às informações privilegiadas que tinha, pedia ao usuário que baixasse arquivos para o computador, na verdade vírus mascarados de formulários para participar da promoção.
No entanto, em nota à imprensa divulgada em março, quando o incidente ocorreu, o site de venda de ingressos negou que as informações vazadas saíram de sua base de dados. No entanto, o blogueiro responsável pela denúncia rebate e questiona:
"Problemas como este não são banais para serem tratados com descaso e nem monstros escondidos no armário da empresa para serem tratados com medo de reconhecer que existem e que devem ser devidamente tratados, afinal, problemas não costumam sumir pelo simples fato de serem ignorados", critica.
Contatada pela reportagem do Baguete, até o fechamento desta matéria a assessoria de imprensa da Ingresso.com não comentou as denúncias.
Leandro Souza h4x2u
Editor na Canaltech