EXCLUSIVO

Arena expõe dados de gremistas

24/11/2017 13:00

Arquivos pessoais relacionados ao processo de cancelamento de ingressos estavam disponíveis em um diretório público.

A Arena Porto-Alegrense expôs na Internet dados pessoais de torcedores gremistas. Foto: Lucas Uebel-Gremio.

Tamanho da fonte: -A+A

A Arena Porto-Alegrense, empresa responsável pela administração do estádio no qual o Grêmio joga suas partidas, expôs na Internet dados pessoais de centenas de torcedores gremistas.

Segundo a reportagem do Baguete pode averiguar, os arquivos relacionados ao processo de cancelamento de ingressos emitidos desde o começo de outubro estavam disponíveis em um diretório público na Internet até a manhã desta sexta-feira, 24.

A reportagem procurou a Arena e o Grêmio para informar da exposição por volta das 7h. Ao redor das 9h30, os dados já não estavam disponíveis. Até a publicação desta matéria, as instituições não se pronunciaram sobre a falha.

Com 125 mil associados, o Grêmio tem um dos maiores quadros sociais do Brasil. Boa parte desses sócios estão registrados em modalidades que concedem prioridade na compra de ingressos e descontos no valor total.

Uma vez adquirido o ingresso, é possível cancelar o bilhete online para receber os valores pagos de volta, enviando para isso o arquivo da entrada já emitida e algum documento pessoal como RG ou carteira de motorista. 

São essas as informações que estavam disponíveis na Internet. O voucher contém a informação sobre o tipo de plano que o torcedor dispõe, além do seu CPF. Muitos dos documentos enviados estavam escaneados em cores e alta resolução (alguém inclusive enviou uma foto de um almoço, aparentemente por engano). 

A reportagem do Baguete foi avisada do erro por um leitor que prefere ficar anônimo.

Torcedor do Grêmio, o leitor estava no site nesta quarta-feira, 22, aguardando para comprar entradas para a partida entre o clube gaúcho e o argentino Lanús, pela final da Libertadores da América.

Como um bom profissional de TI, nosso leitor decidiu dar uma olhada no código fonte da página enquanto aguardava.

“Queria procurar alguma atualização no código ou algo que relacionasse as vendas que iniciariam em um horário específico. Dessa maneira que cheguei naquele diretório /public e comecei a navegar. Foi assim que encontrei os dados”, resume o leitor.

Nosso leitor avisou o Grêmio e a Arena por meio dos seus perfis no Twitter, mas não obteve retorno até o momento.

A falha que expôs os dados dos gremistas é uma configuração errada de permissão em diretório do sistema operacional do servidor nos quais as informações estão registradas.

De acordo com profissionais de TI ouvidos pelo Baguete, trata-se de um erro primário e que pode ser facilmente corrigido (como de fato foi).

Além de por acaso, como as informações foram encontradas pelo leitor do Baguete, esses dados poderiam ser encontrados por alguém mal intencionado usando o Google.

A pedido do Baguete, um profissional da área fez uma consulta no buscador, encontrando um arquivo com o regimento interno da arena hospedado no lado público do servidor para consulta.

Como a raíz de cada diretório está aberta no sistema da Arena, é possível "voltar" e navegar por áreas com dados sensíveis que deveriam estar fechadas. 

Os 825 arquivos podiam ser baixados com facilidade de uma vez só por meio de um script. 

Anedotas técnicas à parte, a armazenagem de dados pessoais dos torcedores gremistas em um diretório público indica uma política de segurança de informação deficiente, agravada pela ausência de reação depois do aviso.

A exposição dos dados acontece num contexto de relações turbulentas entre a OAS, construtora da Arena, e o Grêmio, principal cliente do estádio ou “equipamento”, como preferem dizer hoje em dia.

Inaugurada em 2012, a Arena é o sétimo maior estádio do Brasil, com capacidade para 55 mil pessoas. 

A construção foi tocada pela OAS, que entrou com a maior parte do capital. Em troca, a empreiteira seria sócia da empresa Arena Porto Alegrense, dividindo a gestão e os lucros do local com o Grêmio. 

Muita água passou por debaixo da ponte desde então. Com a crise econômica e os efeitos da Lava Jato, a OAS entrou em crise e demitiu três quartos dos seus funcionários. 

Do lado do Grêmio, há ressentimento sobre o que se percebe como a pouca influência do clube no seu próprio estádio (recentemente, o tricolor precisou jogar fora de casa para que a Arena recebesse um show da banda Coldplay).

Negociações chegaram a iniciar para que o Grêmio assumisse o controle total da Arena Porto-Alegrense e da gestão do estádio, mas elas foram encerradas em março. 

O ambiente interno da OAS e a falta de influência do Grêmio podem ter resultado nas práticas pouco profissionais que levaram à exposição dos dados dos torcedores.

Não que os clubes por conta própria sejam lá muito cuidadosos com os dados dos seus associados. Por exemplo, o Inter, para usar a comparação inevitável no caso do Grêmio, tinha por prática compartilhar entre todas as chapas concorrentes nas eleições do clube a base de dados com e-mails e telefones dos seus associados. A prática foi revelada por uma matéria do Baguete de 2012.

Veja também

AMEAÇAS
Fiocruz: segurança com Fortinet

Com a solução, a instituição evitou o ataque WannaCry.

DADOS
Deloitte tem falha gigante de segurança

A empresa sofreu um ataque hacker ao seu sistema de e-mails.

ENTIDADE
ABES cria comitê de segurança e risco

O novo comitê é liderado por Roberto Gallo, CEO e cientista-chefe da Kryptus.

PROTEÇÃO
Gartner lista tendências para segurança

O Gartner explica as implicações das principais tecnologias para os departamentos de segurança.

SEGURANÇA
Uber admite que teve dados hackeados

A Uber pagou US$ 100 mil para ocultar a violação, que aconteceu há um ano.