Após falha de segurança, clientes da Ingresso.com recebem emails falsos com CPF, RG e endereço
Emails falsos enviados em nome da Ingresso.com indicam vazamento de dados.
Falha no site havia exposto dados de usuários em novembro do ano passado.
A tarde desta terça-feira (11) reservou uma surpresa desagradável para vários clientes da Ingresso.com: eles receberam um email em nome da empresa avisando de um suposto sorteio de ingressos para um jogo do Brasil na Copa de 2014. Seria mais um simples caso de scam se não fosse por um detalhe: a mensagem contém os dados cadastrais destas pessoas, incluindo o nome completo, números do CPF e RG e endereço.
O email se mostra bastante convincente, uma vez que informações pessoais podem fazer com que o indivíduo menos atento acredite mesmo que foi sorteado. Para reforçar, a mensagem informa ainda um suposto código de cupom que o usuário deve informar em um link para resgatar os tais ingressos.
O site de destino, de fato, tem um layout que remete à Ingresso.com, no entanto, a página pede para o usuário baixar um arquivo em PDF e outro em formato *.zip para extrair um suposto formulário que, depois de preenchido, deve ser enviado por email.
Acontece que os formulários são, na verdade, dois arquivos *.cpl, extensão normalmente utilizada em executáveis ou DLLs do Painel de Controle do Windows. Bastante perigosos, portanto.
Entramos em contato com pessoas afetadas pelo problema e todas que responderam confirmaram possuir conta na Ingresso.com, ter recebido a mensagem no email de cadastro, a exatidão dos dados relatados e não estarem participando de nenhum promoção ligada à empresa. Há ainda vários relatos sobre o email no Reclame Aqui.
Esta situação toda nos leva a crer que houve um importante grau de vazamento de dados. Ao menos informações mais críticas, como senhas e número de cartão de crédito, não aparecem no scam, embora isso não assegure que estes dados não tenham parado em mãos erradas: nos testes que fizemos aqui, a opção de “lembrar senha” informa a combinação definida pelo usuário em vez de fornecer um link para a criação de uma nova sequência. Isso sugere que as senhas são guardadas em texto puro, prática bastante insegura.
Não é a primeira vez que a Ingresso.com lida com um problema de segurança. Em novembro de 2013, uma falha fez com que dados sigilosos de vários clientes ficassem expostos no site do serviço, incluindo número de CPF e histórico de compras. O caso chegou a receber atenção do Procon-SP. Não está claro se os problemas têm ligação.
O Tecnoblog entrou em contato com a assessoria de imprensa da Ingresso.com para solicitar um posicionamento sobre o assunto. A empresa prometeu dar retorno ainda nesta quarta-feira (12). Atualizaremos este post assim que obtivermos a resposta.
Atualização às 17:40: a assessoria de imprensa da Ingresso.com nos forneceu seu posicionamento por volta das 17:30. A despeito dos fatores que sugerem vazamento de dados, a empresa manifestou o seguinte:
“A Ingresso.com informa que tomou conhecimento de uma promoção falsa oferecendo ingressos para jogos da Copa do Mundo. A Companhia afirma que os dados não partiram de seus sistemas e que o caso está sendo tratado pelas autoridades competentes.”