Falha de segurança expõe dados de usuários do Ingresso.com

Uma grave falha de segurança foi descoberta nos sistemas do Ingresso.com, uma das maiores vendedoras e operadoras de entradas para espetáculos no Brasil. Descoberto pelo desenvolvedor web Marco Agner, o problema permite que terceiros tenham acesso não apenas aos ingressos adquiridos pelos clientes mas também a informações como nome completo, RG e CPF.

A falha pode ser explorada por meio da manipulação simples da URL de um ingresso comprado. Ao modificar um conjunto de números específicos, que designam o evento ao qual o ingresso pertence, é possível ter acesso não apenas a entradas compradas por outras pessoas, mas também às informações pessoais delas

Sendo assim, o usuário acaba vulnerável não apenas ao uso indevido de seus dados, mas também à utilização indevida da entrada que foi adquirida através do Ingresso.com. A um terceiro mal-intencionado, bastaria simplesmente imprimir o documento e apresentá-lo na bilheteria de um show ou cinema, tendo acesso ao evento sem problemas. Isso sem contar as fraudes possibilitadas pelo acesso indevido aos dados.

Agner cita ainda uma segunda falha, que compromete as senhas de acesso dos clientes às contas no serviço. Segundo ele, as informações de segurança dos usuários estão armazenadas nos servidores da Ingresso.com em “plain text”, ou seja, são guardadas de forma não-criptografada e, sendo assim, ficam sujeitas a serem acessadas facilmente em caso de acesso indevido à infraestrutura da empresa.

A divulgação das falhas aconteceu no último sábado (03), após incessantes contatos sem sucesso com a companhia. No post usado para revelar a falha, Agner relata diversas tentativas de comunicação por telefone ou e-mail. Mesmo após a publicação, ele diz ainda não ter sido contatado pela Ingresso.com.

O desenvolvedor conta já ter se deparado com problemas semelhantes no passado, também reportados às empresas responsáveis. "[É] algo simples, [mas] que arrisca grandes negócios e a segurança de seus clientes. [Tais problemas] são mais comuns que o tempo investido em discussões e educação sobre esse tipo de falha”, lamentou Agner em contato com o Canaltech.

Problemas relacionados

O responsável pela descoberta suspeita que as falhas localizadas por ele no início do ano tenham relações com outro problema recente sofrido pelo Ingresso.com. Em março, uma série de e-mails fraudulentos relacionados a um sorteio falso de entradas para a Copa do Mundo foram emitidos a usuários do serviço, contendo inclusive dados pessoais deles.

A fraude levava os clientes a uma página falsa, que imitava a aparência dos serviços da empresa. Lá, o usuário era instruído a baixar um arquivo para concorrer ao ingresso. Tratava-se, porém, de um malware dedicado ao roubo das informações pessoas e bancárias das vítimas.

Agner conta que a criação de um sistema automatizado que se aproveitasse da vulnerabilidade das URLs seria bastante simples para um programador. Um algoritmo, por exemplo, poderia solicitar vários endereços em sequência e armazenar aquelas que contenham um ingresso. O resultado disso seria não apenas um grande repositório de entradas livres para serem utilizadas, mas também a obtenção de um grande número de dados pessoais dos clientes da empresa.

O desenvolvedor cita ainda a existência de um terceiro problema de segurança no Ingresso.com, relacionado ao tratamento indevido de formulários. Segundo ele, esse seria um problema um pouco mais avançado, que não traz a simplicidade apresentada pelo problema nas URLs de ingressos.

O Canaltech entrou em contato com a assessoria de imprensa da B2W, empresa responsável pelo Ingresso.com, mas até o momento da publicação desta reportagem ela não respondeu às solicitações nem comentou sobre medidas que estariam sendo tomadas para resolver o problema.