Ontem o festival de música Lollapalooza abriu a pré-venda de ingressos e permitiu que pessoas que se cadastraram antes acessassem a área de compras. O festival é conhecido lá fora e como será a primeira vez que ele vem para o Brasil, um público enorme já estava interessado em garantir os ingressos o quanto antes. Mas o que eles não sabiam é que, mesmo para um festival que vende entradas à R$ 500,00, a infraestrutura do site não era das melhores.

Lista de nomes e CPFs | Crédito: IG

Durante a pré-venda, que começou à meia-noite dessa terça, o site ficou indisponível diversas vezes. E como se não bastasse esse problema o programador brasileiro Vinícius “K-Max” Camacho descobriu que a segurança dos servidores também não era ideal. Ele encontrou (e divulgou no seu perfil do Twitter) uma falha de segurança no painel de controle Plesk do servidor, que ainda está na versão 8.6.

Essa falha deixou exposta para qualquer pessoa com a URL certa os nomes e CPFs de dezenas de compradores de ingressos do festival. Além disso K-Max também percebeu que o código usado no setor responsável pela venda dos ingressos foi reaproveitado de outro site, o Futebolcard.com.

Não é a primeira vez que o nome do programador é aparece ao lado de descoberta de falhas de segurança de grandes empresas no Brasil. Em 2009 ele encontrou um bug no site da Telefônica e que permitia o acesso dados de clientes da empresa. Mas a gigante de Telecom não viu isso com bons olhos e afirmou que K-Max havia “vazado” tais dados.

Hoje, quase um dia depois de exposta a falha, o site já teve as falhas corrigidas e, provavelmente, está com servidores mais parrudos para aguentar o número de acessos.

Com informações: IG, Gizmodo Brasil.

Responde

Festify transforma seus 24 artistas mais ouvidos no mês, no semestre, ou desde que criou a conta do Spotify em festival
Como funciona o Festify, app que transforma seu Spotify em festival
É importante saber em quais sites suas senhas foram vazadas para que você faça a troca e não corra o risco de perder a conta em serviços ou redes sociais
Como saber se seus dados de e-mail ou senha foram vazados na internet
Se você tem um site ou blog, saiba o que é o certificado SSL, como adquirir um e em qual certificadora confiar para renovar o seu
O que é certificado SSL?
Por que HTTPS não quer dizer “site seguro”

Relacionados

A criptografia utiliza algoritmos e chaves criptográficas para codificar e decifrar informações, restringindo os dados de pessoas não autorizadas
O que é criptografia? Entenda como funciona e os tipos usados para proteção de dados
Autoridades são quem deve cuidar de casos de vazamento de dados; pessoas precisam redobrar a atenção para evitar golpes
O que fazer em caso de vazamento de dados pessoais?
Descubra como os hackers utilizam métodos simples para encontrar seus dados pessoais, e com eles, aplicar golpes de phishing
Como é fácil encontrar os seus dados e aplicar golpes de phishing
O Tecnoblog reuniu dicas de segurança e tutoriais para te ajudar a rastrear, bloquear e recuperar os dados de um celular roubado ou furtado
Celular roubado: o que fazer para proteger apps e recuperar dados

Escrito por

Rafael Silva

Rafael Silva

Ex-autor

Rafael Silva estudou Tecnologia de Redes de Computadores e mora em São Paulo. Como redator, produziu textos sobre smartphones, games, notícias e tecnologia, além de participar dos primeiros podcasts do Tecnoblog. Foi redator no B9 e atualmente é analista de redes sociais no Greenpeace, onde desenvolve estratégias de engajamento, produz roteiros e apresenta o podcast “As Árvores Somos Nozes”.