Falha no Ingresso.com expõe dados cadastrais

IngressoO site de venda de ingressos Ingresso.com exibiu, ao longo desta sexta-feira (15), informações que aparentemente são de pessoas cadastradas no site. Reclamações sobre o vazamento de dados começaram a aparecer nas redes sociais no início da tarde.

“A Ingresso.com informa que houve uma falha no site e o problema foi solucionado”, respondeu a empresa, às 19h21 desta sexta-feira.

O consumidor Wagner Junior, que teve seus dados e os dados de sua mãe expostos no site, informou às 19h12, que não conseguia acessar seu perfil no Ingresso.com. “Não consigo acessar minha conta, quando consigo entrar na parte do login o site informa que minha conta não existe”, disse o usuário do Rio de Janeiro.

Wagner Junior fez um Registro de Ocorrência na 43ª Delegacia de Polícia do Rio de Janeiro na tarde de hoje e informou que pretende acionar a Ingresso.com. “Tenho mais 15 e-mails de pessoas que tiveram acesso à minha conta. Vamos ver como entrar com um processo conjunto contra a Ingresso.com”, disse.
Conforme alertaram usuários no Twitter, no início da tarde, além de mostrar dados da conta do usuário do site Ingresso.com, era possível visualizar quais foram as últimas compras e até imprimir ingressos.
Os números de CPF e de telefone exibidos nas telas de cadastro são aparentemente verdadeiros. Os números de CPF constam no site da Receita Federal com os mesmos nomes do cadastro do Ingresso.com e os telefones são atendidos por pessoas que confirmam estar cadastradas no site.

Entenda a falha
“Essa é considerada a segunda falha mais comum em sites de internet no ranking mantido pela OWASP, uma organização de especialistas em falhas na web”, afirma o especialista em segurança e colunista do G1, Altieres Rohr.

Conforme explica Rohr, a falha envolve o controle de sessão do site. “Quando fazemos o login em um site, a página atribui ao navegador um código ligado ao usuário, que não pode ser adivinhado. Todas as páginas que dependem do login devem verificar esse código, num processo que é chamado de controle de sessão. A programação do site está com algum defeito que não verifica a presença do código, deixando internautas diretamente logados na conta de outra pessoa”.

Ainda segundo o especialista, mesmo quando há problemas no controle de sessão, um site bem programado deve apresentar um defeito diferente: o de impedir que o usuário faça login na página. “Também faz parte das práticas de programação segura a criação de uma lógica na qual as falhas tenham o menor impacto possível”, afirma.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Comentários encerrados.

%d blogueiros gostam disto: