O Lollapalooza é um conhecido festival de música dos EUA que terá sua primeira edição no Brasil em 2012. Mas o site da pré-venda, que abriu à meia-noite (de segunda para terça) não aguentou a alta demanda, e pior: uma lista com nomes e CPFs de quem havia comprado o ingresso estava facilmente disponível através do site. Vinícius K-Max, que descobriu a falha, diz que o site usa software desatualizado de 2008 e reaproveita código de site que vende ingressos de futebol.
O K-Max já foi assunto por aqui: em 2009, ele descobriu dados sigilosos de clientes Speedy da Telefônica, publicou-os parcialmente e foi indiciado pela Polícia Civil. Inicialmente, para divulgar o problema, ele deu entrevista ao Estadão. A Telefônica “denunciou o crime à polícia”, mas ele se defendeu: “se quisesse roubar dados, não teria ido à imprensa”. Desde então, ele esteve longe de polêmicas sobre segurança na internet – este ano, ele fez investigações para um documentário sobre o ET Bilu.
Hoje, K-Max revela uma falha amadora de segurança no site de pré-venda do Lollapalooza: como ele informou via Twitter, “em 30 segundos” ele conseguiu o link direto com a lista de nomes e CPFs de quem comprou ingresso pelo site. O iG publicou um screenshot (com nomes e números borrados) antes do problema sumir. K-Max diz que eles usam o painel de controle Plesk – por onde se administra o site – na versão 8.6, lançada em 2008. A última versão do Plesk (10.3.1) foi lançada em julho deste ano.
Segundo K-Max, o site também usa código reaproveitado do futebolcard.com, o que causou outra falha inusitada: Lúcio Ribeiro, do UOL, quis comprar o ingresso do Lollapalooza, mas o sistema tentou vender ingressos para jogos do Figueirense no Campeonato Brasileiro.
A falha no site da pré-venda não funciona mais: K-Max diz ao Olhar Digital que a falha foi corrigida hoje de manhã, “mas talvez não tenha sido pela questão da segurança, e sim porque a estrutura deles, que estava fora do ar, claramente não suportava a demanda”. Um evento que cobra R$500 de ingresso por dois dias de shows deveria oferecer uma segurança melhor, não? [@viniciuskmax via IDG Now]
Nenhum comentário:
Postar um comentário