Início » Antivírus e Segurança » Site para eleição do Vasco expõe dados dos sócios torcedores

Site para eleição do Vasco expõe dados dos sócios torcedores

Vasco da Gama fará nova eleição para presidente do clube; site expôs dados pessoais como CPF, nome e data de nascimento

Felipe VenturaPor

O Club de Regatas Vasco da Gama realizou nesta semana um cadastro para que seus sócios torcedores possam votar no próximo presidente do time. No entanto, o site responsável por isso expôs os dados de milhares de usuários, incluindo nome completo, data de nascimento e CPF, segundo apurou o Tecnoblog. Em sua política de privacidade, o clube prometia respeitar a LGPD (Lei Geral de Proteção de Dados Pessoais).

Vasco da Gama (Imagem: Luis Wilker Perelo/Pixabay

Vasco da Gama (Imagem: Luis Wilker Perelo/Pixabay

O site Eleja Online, que cuida desta eleição do Vasco, permitia acessar dados pessoais usando uma URL específica incluindo o número da matrícula; isto foi confirmado pelo Tecnoblog. O navegador exibia os seguintes dados:

  • ID
  • nome completo
  • CPF
  • data de nascimento
  • número da matrícula
  • categoria (geral, patrimonial, remido, benfeitor remido etc.)

O especialista em segurança que analisou essa falha conta ao Tecnoblog que criou um script (feito em PHP com cURL) para “chutar” o número da matrícula usando sequências aleatórias e gravar os resultados válidos. “De umas 7 mil consultas, peguei esses 5.590 cadastros, isso em menos de 2 horas rodando”, diz a fonte.

Dados vazados de sócios torcedores do Vasco (Imagem: Reprodução)

Dados vazados de sócios torcedores do Vasco (Imagem: Reprodução)

Segundo ele, a página usava o Cloudflare — que protege sites contra DDoS e outras ameaças — mas não havia nada para prevenir ataques de força bruta (brute force). Dessa forma, foi possível coletar milhares de dados sem qualquer bloqueio.

Vasco prometia privacidade nos dados

A página de cadastro está atualmente fora do ar. Ao visitá-la, surgia um pop-up com a política de privacidade, mencionando “o comprometimento da Assembleia Geral Ordinária do Club de Regatas Vasco da Gama com a transparência e com a proteção dos seus dados pessoais”.

No entanto, o texto — atualizado pela última vez em 10 de novembro — dizia erroneamente que a LGPD ainda não está em vigor; na verdade, ela começou a valer em setembro. Além disso, o site fez algumas promessas que não pôde cumprir, por exemplo: “garantimos que somente a Assembleia Geral do Club de Regatas Vasco da Gama tem acesso aos seus dados pessoais coletados por este website”.

Temos também o seguinte: “o presidente da Assembleia Geral do Club de Regatas Vasco da Gama adotou todas as medidas de segurança por meio de uma seleção criteriosa da empresa responsável pela coleta de dados e operação do sistema de eleição virtual”.

Política de privacidade do Vasco (Imagem: Reprodução/Eleja Online)

Política de privacidade do Vasco (Imagem: Reprodução/Eleja Online)

As punições da LGPD variam de uma advertência a uma multa de 2% sobre o faturamento anual, limitada a R$ 50 milhões. Isso depende da ANPD (Autoridade Nacional de Proteção de Dados), cujos membros ainda estão sendo definidos. No entanto, quem for afetado por um vazamento pode entrar com processo na Justiça.

Os dados expostos de sócios torcedores podem deixar a eleição do Vasco ainda mais tumultuada. A votação online deve ocorrer neste sábado (14), mas os candidatos Leven Siano, Sérgio Frias e Alexandre Campello (atual presidente) renunciaram. Leven afirma que já é presidente eleito por outra votação que ocorreu no sábado passado (7), e cujo efeito foi suspenso pelo STJ (Superior Tribunal de Justiça).

O Tecnoblog entrou em contato com o Vasco e com o Eleja Online, mas não obteve resposta.

Site do Vasco divulga CPF dos sócios

Após a publicação deste post, um leitor apontou que o site do Vasco possui uma lista com informações de quase 8.500 eleitores, incluindo nome completo, CPF, data de admissão, data de nascimento, número da matrícula e categoria social.

A lista consiste em várias imagens reunidas em um PDF, então não há como pesquisar os dados de forma fácil. No entanto, há como converter esse tipo de arquivo em uma planilha do Excel.

Dados de eleitores do Vasco (Imagem: Reprodução/Vasco)

Dados de eleitores do Vasco (Imagem: Reprodução/Vasco)

Atualizado às 14h40

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Pierre (@pierrediniz)

Então clube e empresa estão errados. LGPD tá aí e toda entidade, publica ou privada, tá sujeita a ela.

Com a zona que tá sendo essa eleição do Vasco, não me surpreende tamanha incompetência. E olha que de incompetência eu entendo porque sou São Paulino.

// (@Francisco)

Parece que você só leu a manchete e veio comentar. O sistema da empresa não tem a mínima segurança, eles não conseguiram aplicar coisas óbvias de segurança que uma aplicação Web deve ter.
Já pensou eu poder visualizar teus dados cadastrados no fórum ao mudar o ID na URL da página de edição do perfil? Ou poder fazer inúmeras requisições de bruteforce na página de login sem ser bloqueado?

Dark (@Darkalliance)

Eu entendo os dois, sou Santista e olha, diretoria incompetente o Santos tem mestrado e doutorado.