Site do festival Lollapalooza deixou exposto dados dos compradores de ingressos

Ontem o festival de música Lollapalooza abriu a pré-venda de ingressos e permitiu que pessoas que se cadastraram antes acessassem a área de compras. O festival é conhecido lá fora e como será a primeira vez que ele vem para o Brasil, um público enorme já estava interessado em garantir os ingressos o quanto antes. Mas o que eles não sabiam é que, mesmo para um festival que vende entradas à R$ 500,00, a infraestrutura do site não era das melhores.

Durante a pré-venda, que começou à meia-noite dessa terça, o site ficou indisponível diversas vezes. E como se não bastasse esse problema o programador brasileiro Vinícius “K-Max” Camacho descobriu que a segurança dos servidores também não era ideal. Ele encontrou (e divulgou no seu perfil do Twitter) uma falha de segurança no painel de controle Plesk do servidor, que ainda está na versão 8.6.

Essa falha deixou exposta para qualquer pessoa com a URL certa os nomes e CPFs de dezenas de compradores de ingressos do festival. Além disso K-Max também percebeu que o código usado no setor responsável pela venda dos ingressos foi reaproveitado de outro site, o Futebolcard.com.

Não é a primeira vez que o nome do programador é aparece ao lado de descoberta de falhas de segurança de grandes empresas no Brasil. Em 2009 ele encontrou um bug no site da Telefônica e que permitia o acesso dados de clientes da empresa. Mas a gigante de Telecom não viu isso com bons olhos e afirmou que K-Max havia “vazado” tais dados.

Hoje, quase um dia depois de exposta a falha, o site já teve as falhas corrigidas e, provavelmente, está com servidores mais parrudos para aguentar o número de acessos.

Com informações: IG, Gizmodo Brasil.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade