Início » Antivírus e Segurança » Após falha de segurança, clientes da Ingresso.com recebem emails falsos com CPF, RG e endereço

Após falha de segurança, clientes da Ingresso.com recebem emails falsos com CPF, RG e endereço

Emails falsos enviados em nome da Ingresso.com indicam vazamento de dados.
Falha no site havia exposto dados de usuários em novembro do ano passado.

Emerson Alecrim Por

A tarde desta terça-feira (11) reservou uma surpresa desagradável para vários clientes da Ingresso.com: eles receberam um email em nome da empresa avisando de um suposto sorteio de ingressos para um jogo do Brasil na Copa de 2014. Seria mais um simples caso de scam se não fosse por um detalhe: a mensagem contém os dados cadastrais destas pessoas, incluindo o nome completo, números do CPF e RG e endereço.

O email se mostra bastante convincente, uma vez que informações pessoais podem fazer com que o indivíduo menos atento acredite mesmo que foi sorteado. Para reforçar, a mensagem informa ainda um suposto código de cupom que o usuário deve informar em um link para resgatar os tais ingressos.

E-mail falso - Ingresso.com

Email falso em nome da Ingresso.com

O site de destino, de fato, tem um layout que remete à Ingresso.com, no entanto, a página pede para o usuário baixar um arquivo em PDF e outro em formato *.zip para extrair um suposto formulário que, depois de preenchido, deve ser enviado por email.

Acontece que os formulários são, na verdade, dois arquivos *.cpl, extensão normalmente utilizada em executáveis ou DLLs do Painel de Controle do Windows. Bastante perigosos, portanto.

A página falsa com a "isca"

A página falsa com a “isca”

Entramos em contato com pessoas afetadas pelo problema e todas que responderam confirmaram possuir conta na Ingresso.com, ter recebido a mensagem no email de cadastro, a exatidão dos dados relatados e não estarem participando de nenhum promoção ligada à empresa. Há ainda vários relatos sobre o email no Reclame Aqui.

Esta situação toda nos leva a crer que houve um importante grau de vazamento de dados. Ao menos informações mais críticas, como senhas e número de cartão de crédito, não aparecem no scam, embora isso não assegure que estes dados não tenham parado em mãos erradas: nos testes que fizemos aqui, a opção de “lembrar senha” informa a combinação definida pelo usuário em vez de fornecer um link para a criação de uma nova sequência. Isso sugere que as senhas são guardadas em texto puro, prática bastante insegura.

E-mail da opção "lembrar senha"

E-mail da opção “lembrar senha”

Não é a primeira vez que a Ingresso.com lida com um problema de segurança. Em novembro de 2013, uma falha fez com que dados sigilosos de vários clientes ficassem expostos no site do serviço, incluindo número de CPF e histórico de compras. O caso chegou a receber atenção do Procon-SP. Não está claro se os problemas têm ligação.

O Tecnoblog entrou em contato com a assessoria de imprensa da Ingresso.com para solicitar um posicionamento sobre o assunto. A empresa prometeu dar retorno ainda nesta quarta-feira (12). Atualizaremos este post assim que obtivermos a resposta.

Atualização às 17:40: a assessoria de imprensa da Ingresso.com nos forneceu seu posicionamento por volta das 17:30. A despeito dos fatores que sugerem vazamento de dados, a empresa manifestou o seguinte:

“A Ingresso.com informa que tomou conhecimento de uma promoção falsa oferecendo ingressos para jogos da Copa do Mundo. A Companhia afirma que os dados não partiram de seus sistemas e que o caso está sendo tratado pelas autoridades competentes.”

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Kelvin Hurley
Olá, Esta é informar o público em geral que a senhora deputada Morgan Dorcas, um emprestador empréstimo privado tem abrir uma oportunidade financeira para todos na necessidade de qualquer ajuda financeira. Damos o empréstimo a 2% da taxa de juros para indivíduos, empresas e sociedades sob um termos e condições claros e compreensíveis. contacte-nos hoje por e-mail para: [email protected]
Claudia Galizian
Pessoal, sou só mais uma entre os muitos que receberam esse email. Absurda essa exposição de dados de clientes. Vejam o que está no site da ingressos.com sobre o segurança das informações dos clientes. "Qual a segurança que tenho em fornecer meus dados no site? Para seu maior conforto, os dados cadastrais são armazenados em um banco de dados protegido por firewall, e hospedado em um data-center de uma das maiores empresas da área. Todas as suas informações pessoais são enviadas de forma criptografada para o site da Ingresso.com através do certificado de criptografia fornecido pela Verisign, empresa líder no segmento para garantimos a privacidade de seus dados. A Ingresso.com só utiliza os dados de seu cartão no momento da compra. Imediatamente após a confirmação de compra, o número de seu cartão é automaticamente inutilizado. Não divulgamos informações individuais, somente um resumo consolidado dessas informações, como sexo, idade, estado onde reside entre outras de uma maneira geral. Quais são os certificados de segurança utilizados através do site? O site Ingresso.com utiliza modernos protocolos de segurança HTTP SSL seguro, para garantir a confidencialidade dos dados e segurança das transações realizadas via web. O site também é certificado pela VeriSign, empresa conceituada em segurança na internet. Os usuários podem clicar no selo na parte inferior à esquerda de nossa página para confirmar em tempo real que nosso site foi aprovado pela VeriSign com respeito a proteger informações confidenciais com a criptografia SSL."
Leka_Salazar
Estou extremamente indignada! Confiamos nossos dados a um empresa supostamente segura e tem uma surpresa dessas. E agora, o que podemos fazer quanto a isso? Qual é a resposta da Ingresso.com? Palhaçada isso, viu.
Mario Brost
Um absurdo, também recebi o email com os meus dados, e sou cliente da ingresso.com.
cindysampaio.as
Estou muito chateada, acabei de receber um e-mail da "ingresso.com" que logo percebi ser falso, entretanto, continha todos os meus dados. Entrei no site e mande o seguinte e-mail : Recebi na data de hoje um e-mail cujo remetente intitulava-se Ingresso.com, ao abrir verifiquei que ofereciam ingressos, logo percebi tratar-se de uma mentira, entretanto, o que me deixou pasma foi que tinham todos os meus dados inclusive meu endereço, só faltaram colocar o número do cartão de crédito, se é que já não o tem. Gostaria que me explicassem o que ocorreu e quais as providências que estão sendo tomadas, pois trata-se de um erro muito Grave de Segurança do sistema de vocês.
Diego Mercado
Recebi este mesmo e-mail hoje a tarde e já somei uma crítica ao Reclame Aqui. Devido ao jogo do Brasil de amanhã, quarta-feira procurarei um juizado de pequenas causas mais próximo e tomarei precauções legais para que o dano seja minimizado. É de extrema falta de competência a Ingresso.com "deixar" estes dados tão mal protegidos e mais irresponsável ainda as respostas enviadas a outras pessoas lesadas como eu fui.
brunadealmeidafrancisco
Gente, eu recebi esse email dia 20/05 mas so vi agr, nesse email tem meu nome,data de nascimento, endereço e o sexo . Sera que tiveram acesso a meu cpf e rg? o link do site que eles mandam deu erro e n abriu,sera q comprometeu meu pc em algo? Tbm n to conseguindo acessar a minha conta no ingresso.com
brunadealmeidafrancisco
Oie gente, recebi esse email dia 20/05 e so vi hj,fiquei curiosa e cliquei em cima do endereço que eles nos fornece so que o site n abriu pois creio que ja esteja fora do ar,ter clicado nesse endereço msm que n abriu pd ter me acarretado algum problema? no meu email so veio meu nome,endereço,data de nascimento e o sexo. Sera que isso pd me acarretar problemas futuros?
Sarah Dixon
Não acredito...eu cai nesse golpe... :'(
Viviane Cerqueira
Acabo de ver minha caixa de entrada e recebi um e-mail desses: De: sorteados-camiladutra48729 ([email protected]) Enviada: quinta-feira, 19 de junho de 2014 21:59:16 Com meu endereço nome completo e data de nascimento. No final assina uma tal Camila Campos Dutra. (41) 4003-2340 Isso significa que alguém que não é da ingresso.com têm meus dados??
gustavob.rocha
s
gustavob.rocha
Hoje, 23/06/14, recebi dois e-mails idênticos, pesquisei no google e acabei neste site. Sou advogado e ingressarei com ação contra o Ingresso.com, pois é nítido que esta empresa não agiu com o dever de cautela. A eventual invasão ao seu banco de dados compõe o risco do empreendimento, e não a exime de responsabilidade. O que resta a se comprovar é a caracterização do dano e do nexo causal! Recomendo que façam BO para se resguardarem e, caso se sintam lesados, ingressem com ação! Estou à disposição para dúvidas no e-mail [email protected] Para esclarecer às vítimas, trago alguns artigos relevantes de nossa Legislação: Constituição Federal: Art. 5º (...) X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação Código de Defesa do Consumidor: Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. Art. 55(...) § 1° A União, os Estados, o Distrito Federal e os Municípios fiscalizarão e controlarão a produção, industrialização, distribuição, a publicidade de produtos e serviços e o mercado de consumo, no interesse da preservação da vida, da saúde, da segurança, da informação e do bem-estar do consumidor, baixando as normas que se fizerem necessárias.
Cleilso Santos
Recebi hoje este e-mail, porem sem os números dos documentos,cancelando conta neste site em 3,2,1... complicado pq os meliantes já estão com meus dados, tomara que eles paguem os boletos e a divida no banco...
Nano Max
Recebi dois e-mails desse hoje, suspeitei na hora. No meu e-mail não tem meu RG e CPF, mas tem outros dados, como posso prosseguir pois tenho medo dos meus dados vazarem?
Rafa Albrecht
E cabe processo Arnaldo?
Exibir mais comentários