Falha de segurança no site do festival Lollapalooza expõe dados de clientes

Por Lucas Tavares - em 22/11/2011 às 18h10

  • Banco de Dados
  • Hackers
  • Música
  • Segurança

Resumo: Vinícius K-Max, hacker que encontrou o problema, conversou com o Olhar Digital e explicou como a informação estava mal protegida
lollapalooza

A venda dos bilhetes para o festival de música Lollapalooza, que acontecerá nos dias 7 e 8 de abril de 2012, no Jockey Club, em São Paulo, começou nesta terça-feira (22/11). Porém, além dos tradicionais problemas de lentidão nos sites de ingressos, enfrentados pelo público brasileiro sempre que ocorrem grandes eventos, um outro fator agravou a situação no caso do Lollapalooza: a falta de segurança e proteção dos dados de todos os compradores.

Poucas horas após o início das vendas, o paulistano Vinícius K-Max, de 26 anos, "famoso" por expor problemas de segurança de grandes empresas e divulgá-las na internet, descobriu uma falha no site de vendas dos ingressos e espalhou a informação em seu Twitter. De acordo com K-Max, ele não demorou mais do que alguns segundos para encontrar a lista com informações dos clientes.

Reprodução


"Era uma página onde, teoricamente, havia a possibilidade de reset dos pedidos, algo que deveria estar disponível apenas ao administrador do site, mas estava aberto, sem pedir nenhum tipo de autenticação", disse o hacker em entrevista para o Olhar Digital.

Quando perguntado sobre a possibilidade de resetar a lista de compradores, Vinícius disse que não sabe se eram clientes ou chamados de suporte. "A página se chamava 'zerarChamados.php' e também não continha nenhum tipo de autenticação".

Reprodução

Segundo K-Max, os administradores só corrigiram o erro hoje de manhã. "A página ficou exposta por muitas horas", completa. Ele também diz que, em meio à sua invasão, descobriu que o site do festival havia se aproveitado do sistema de segurança de um outro serviço - o futebolcard.com, que vende ingressos para jogos do Campeonato Brasileiro.

Os organizadores do festival afirmaram, também via Twitter, que estão trabalhando para normalizar o processo. K-Max confirma: "Os administradores mudaram muita coisa de ontem para hoje, mas, talvez, não tenha sido pela questão da segurança, e sim porque a estrutura deles, que estava fora do ar, claramente não suportava a demanda de pedidos".

Vinícius K-Max explica que casos como esse mostram o quão negligenciada é a segurança de alguns sites. Ele completa: "Ao contrário do que muitos pensam, raramente um teste profundo e sofisticado é necessário. As falhas podem ser encontradas literalmente em segundos".

O Lollapalooza Brasil contará com apresentações de bandas como Jane’s Addction, Foo Fighters, Arctic Monkeys, MGMT, Calvin Harris, TV on the Radio, O Rappa, Marcelo Nova e diversos outros artistas, marcando a estréia do festival no Brasil.



Recomendações
Ver todas
Últimos vídeos
Ver todos
Redes Sociais