Desenvolvedor encontra falhas de segurança no Ingresso.com

Ambas as falhas encontradas colocariam em risco informações pessoais de usuários do serviço e, possivelmente, senhas

São Paulo – As compras de ingresso online não são tão seguras quanto parecem, como descobriu nesta semana o brasileiro Marco Agner.

O desenvolvedor do Rio de Janeiro publicou em sua página pessoal a descrição de duas brechas de segurança simples, mas muito graves, que afetariam o sistema do popular Ingresso.com, um dos sites de maior tráfego no Brasil. Ambas colocariam em risco informações pessoais de usuários do serviço e, possivelmente, senhas.

No texto, Agner afirma que desde janeiro vinha tentando entrar em contato com a companhia para alertar sobre as brechas, mas não fora devidamente ouvido até a última terça-feira.

A situação foi mudar apenas nesta última terça, quando, segundo disse o especialista a Info, representantes entraram em contato com ele. “Não posso garantir o que vai melhorar e quando vai melhorar”, afirmou o desenvolvedor. “Mas garanto que agora há pessoas influentes de lá de dentro correndo atrás dos problemas.” Ou seja, ao menos aparentemente, as correções no site já estão sendo feitas.

As brechas

De qualquer forma, na postagem, Agner explica que uma dessas vulnerabilidades aparece na hora de gerar um ingresso para impressão, após a compra. A outra, por sua vez, se dá na forma com que a companhia armazenaria as palavras-chaves de clientes.

A primeira falha é talvez a mais preocupante, e ao menos de acordo com o especialista, está sendo solucionada: o endereço referente à entrada adquirida podia ser facilmente modificado. Dessa forma, um usuário qualquer – ou alguém mal-intencionado mesmo – podia acessar as compras de outros clientes mudando alguns caracteres.

O processo é realmente simples: além das letras, cada URL gerada e referente a um ingresso trazia um ID, como explica Agner. Os oito primeiros dígitos desse trecho eram referentes à data da compra, enquanto os quatro últimos mostravam o horário.

Eles não têm grande valor, conforme mostra o desenvolvedor brasileiro, e podem ser substituídos por zeros. O mesmo vale para metade dos dezesseis caracteres que sobram. Apenas oito desses últimos números são realmente úteis, fazendo referência à sessão da compra. O especialista, então, precisou simplesmente alterar alguns dígitos dentro desse pedaço para visualizar outros ingressos.

No entanto, a facilidade com que um roubo pode ser executado não é nem o maior dos riscos trazidos pela brecha. Se você já comprou uma entrada pelo site, sabe que, além dos dados referentes a uma sessão de cinema, aparecem no documento informações relativas ao comprador. Nome, CPF e RG, por exemplo, ficam expostos para qualquer um que modifique a URL – e não faz bem que esse tipo de dado não deve fique disponível assim na web.

A outra vulnerabilidade encontrada pelo desenvolvedor aparece no armazenamento de senhas, aparentemente guardadas em “plain-text” nos servidores.

Elas também são enviadas dessa forma, por e-mail, aos usuários que dizem ter esquecido a combinação. Assim, mesmo que as palavras-chave estejam criptografadas nos data centers – e a teoria esteja errada –, um ataque “man-in-the-middle” poderia, na teoria, interceptar a mensagem com a senha.

Consequências

Problemas relativos a essas vulnerabilidades, conforme supõe Agner, já podem até ter aparecido em um caso recente. Um e-mail falso, com dados dos usuários, dizia que eles haviam ganhado um ingresso para a Copa. O Ingresso.com alertou os clientes de que a “promoção” era uma fraude, e não se sabe quantos foram afetados. Mas uma busca pelo caso no ReclameAqui mostra que pelo menos as críticas foram muitas – mesmo com o serviço, em todos as situações, afirmando não ter sido o responsável pelos vazamentos das informações.

Agner ainda menciona outras brechas que podem ter sido aproveitadas pelos criminosos e que seguiriam sem correção. Mas por serem “mais avançadas” – e pelo próprio desenvolvedor não achar “saudável divulgar certo níveis de problemas ao público sem que eles estejam resolvidos” –, elas acabaram não descritas no texto.

Ainda assim, as duas brechas mais “infantis” já trazem motivos de sobra para preocupação. “Meu foco era apontar justamente falhas de tamanha simplicidade em um dos sites com maior tráfego no Brasil”, contou o especialista, que espera conseguir evidenciar a importância que deve ser dada à segurança da informação com a divulgação dessas vulnerabilidades. “Ainda estamos alguns passos atrás de serviços grandes como Facebook e PayPal, que inclusive têm programas que incentivam a caça a bugs”, contou, dando até uma ideia para as grandes empresas online do Brasil.

Info entrou em contato com a assessoria da B2W para pedir algum posicionamento da empresa e confirmar se as correções estão, de fato, sendo feitas. A companhia, no entanto, se limitou a dizer que “leva muito a sério a segurança da informação de seus clientes”. Segundo o comunicado, “sugestões e informações são sempre analisadas e utilizadas para melhorar ainda mais nossos processos e sistemas”. Por mais que isso leve tempo, aparentemente.