Uma brecha no servidor da página Avanti Palmeiras, plataforma online para venda de ingressos e adesão de sócio-torcedores, expôs dados de possivelmente mais de 53 mil usuários. O software, de propriedade da empresa Futebol Card, também é usado pelo Botafogo e pelo Sport, porém, aparentemente, somente o clube paulista teria sido afetado.
Segundo uma investigação do site brasileiro The Hack em parceria com a página norte-americana ZDNet, o problema aconteceu por conta de configurações inadequadas no ambiente em nuvem, baseado no Amazon Simple Storage Service (S3) — um dos serviços de armazenamento do Amazon Web Services. A vulnerabilidade teria acontecido porque os desenvolvedores esqueceram de especificar o grau de privacidade, o que deixou os arquivos com acesso público.
O The Hack conseguiu extrair quase 25 GB de dados em 1.640 planilhas em formato CSV, com nomes completos, CPF, datas de nascimento e de associação, gênero, estado civil, plano, forma de pagamento, recorrência de acertos, e-mail de cadastro, número de telefone, endereço completo, tamanho da camiseta e até mesmo comentários deixados pelos associados. Também foram obtidos detalhes sobre os cartões Mifare, usados na entrada da Arena Palmeiras, incluindo código, dígito e status (gerado, recebido, retirado, etc).
–
Feedly: assine nosso feed RSS e não perca nenhum conteúdo do Canaltech em seu agregador de notícias favorito.
–
No total foram encontradas informações de 44 mil membros ativos em apenas um dos relatórios e 9,7 mil bloqueados em outro, mas, como alguns registros podem ter sido replicados em diferentes listagens, não dá para saber exatamente o número exato. O programa Avanti Palmeiras teria um total de 67 mil inscritos, dos quais 60 mil estariam com pagamento em dia.
Vazamento pode ser usado em golpes de phishing
O vazamento inclui material de marketing, como banners para mensagens eletrônicas, imagens promocionais, logotipos em alta resolução e favicons. Isso tudo permite que golpistas criem réplicas muito fieis de mensagens e páginas oficiais do clube, o que pode ludibriar mais facilmente os torcedores. Além disso, com todos esses dados detalhados em mãos, os criminosos podem entrar em contato com as vítimas e pedir pagamentos, realizar registros em serviços e gerar várias outras situações altamente personalizadas.
A Futebol Card foi notificada pelo The Hack, mas ainda não se pronunciou oficialmente, apenas configurou adequadamente o servidor, que agora está protegido. Não se sabe exatamente quantas pessoas puderam acessar esse conteúdo.
Palmeiras responde
O clube paulista emitiu um comunicado oficial sobre o caso nesta quarta-feira (5). Segundo a mensagem, a direção do time entrou em contato com a Futebol Card, que “assumiu uma falha na proteção de dados cadastrais dos torcedores do Palmeiras e de outros clubes”. A companhia que gerencia a plataforma negou que tenham vazado informações financeiras, como números de cartões de crédito.
“A FutebolCard garantiu que a falha foi corrigida assim que a informação foi recebida e se posicionará ainda nesta quarta sobre o fato”, complementa a nota.
Trending no Canaltech:
- Selfie épica de astronauta na ISS exibe reflexo da Terra em seu capacete
- Mãe de garotinha chamada Alexa diz que a Amazon destruiu a vida da filha
- Com o PlayStation 5 chegando, vendas do PlayStation 4 começam a cair
- Meteoro deixa a noite quase tão clara quanto o dia na Inglaterra
- Vacina contra o coronavírus só deve chegar daqui um ano e meio, diz Novartis
Fonte: Canaltech