Autor: Emerson Alecrim

A ultima semana reservou uma surpresa desagradável para vários clientes da Ingresso.com: eles receberam um email em nome da empresa avisando de um suposto sorteio de ingressos para um jogo do Brasil na Copa de 2014. Seria mais um simples caso de scam se não fosse por um detalhe: a mensagem contém os dados cadastrais destas pessoas, incluindo o nome completo, números do CPF e RG e endereço.

O email se mostra bastante convincente, uma vez que informações pessoais podem fazer com que o indivíduo menos atento acredite mesmo que foi sorteado. Para reforçar, a mensagem informa ainda um suposto código de cupom que o usuário deve informar em um link para resgatar os tais ingressos.

E-mail falso - Ingresso.com

Email falso em nome da Ingresso.com

O site de destino, de fato, tem um layout que remete à Ingresso.com, no entanto, a página pede para o usuário baixar um arquivo em PDF e outro em formato *.zip para extrair um suposto formulário que, depois de preenchido, deve ser enviado por email.

Acontece que os formulários são, na verdade, dois arquivos *.cpl, extensão normalmente utilizada em executáveis ou DLLs do Painel de Controle do Windows. Bastante perigosos, portanto.

A página falsa com a "isca"

A página falsa com a “isca”

Entramos em contato com pessoas afetadas pelo problema e todas que responderam confirmaram possuir conta na Ingresso.com, ter recebido a mensagem no email de cadastro, a exatidão dos dados relatados e não estarem participando de nenhum promoção ligada à empresa. Há ainda vários relatos sobre o email no Reclame Aqui.

Esta situação toda nos leva a crer que houve um importante grau de vazamento de dados. Ao menos informações mais críticas, como senhas e número de cartão de crédito, não aparecem no scam, embora isso não assegure que estes dados não tenham parado em mãos erradas: nos testes que fizemos aqui, a opção de “lembrar senha” informa a combinação definida pelo usuário em vez de fornecer um link para a criação de uma nova sequência. Isso sugere que as senhas são guardadas em texto puro, prática bastante insegura.

E-mail da opção "lembrar senha"

E-mail da opção “lembrar senha”

Não é a primeira vez que a Ingresso.com lida com um problema de segurança. Em novembro de 2013, uma falha fez com que dados sigilosos de vários clientes ficassem expostos no site do serviço, incluindo número de CPF e histórico de compras. O caso chegou a receber atenção do Procon-SP. Não está claro se os problemas têm ligação.

Atualização: a assessoria de imprensa da Ingresso.com nos forneceu seu posicionamento, a despeito dos fatores que sugerem vazamento de dados, a empresa manifestou o seguinte:

“A Ingresso.com informa que tomou conhecimento de uma promoção falsa oferecendo ingressos para jogos da Copa do Mundo. A Companhia afirma que os dados não partiram de seus sistemas e que o caso está sendo tratado pelas autoridades competentes.”
Fonte: Tecnoblog