Dados de sócios do Palmeiras são expostos na internet
são paulo Os dados pessoais de milhares de torcedores do Palmeiras filiados ao Avanti, programa de sócio-torcedor do clube, ficaram expostos no servidor da plataforma de venda de ingressos FutebolCard. As informações estavam em 1.640 planilhas, extraídas pelos sites The Hack e ZDNet.
Os documentos também continham informações pessoais de torcedores do Botafogo e do Sport, mas a maior parte era de palmeirenses, segundo as publicações.
A Folha confirmou que o The Hack teve acesso aos dados após denúncia do ZDNet. Os sites, em conjunto, a analisaram e comprovaram que as informações eram reais.
O The Hack é um portal de notícias brasileiro sobre segurança da informação e cibernética. Já o ZDNet é um site que reúne notícias, análises e pesquisas sobre tecnologia.
O trabalho de coleta dos dados começou a ser feito no domingo (26). Constatado o problema, o site notificou a FutebolCard e o Avanti na quintafeira (30), mas não obteve resposta. A falha no servidor foi corrigida um dia depois.
Foram obtidos nome, data de nascimento, CPF, estado civil, plano de associação, email, telefone, endereço completo e forma de pagamento, além do tamanho de camisa dos torcedores. Há também detalhes sobre cartões usados para acessar o estádio.
Embora os dados dos cartões de créditos dos associados não estejam entre as informações vazadas, a falha permitiu acesso a informações que podem dar a hackers a chance de aplicar golpes em associados do Avanti.
Eles podem, por exemplo, fazê-los acreditar que representam o programa de sóciotorcedor, os convencendo a fazer pagamentos a uma conta corrente ou fornecer o número do seu cartão de crédito.
As informações do FutebolCard estavam armazenadas em um serviço de nuvem configurado como público e que poderia ser encontrado facilmente usando sites e ferramentas de busca gratuitas na internet. Basta que o usuário acessasse a URL correta para conseguir baixar os dados.
Para Renato Leite Monteiro, fundador do Data Privacy Brasil, o caso pode manchar a imagem das instituições envolvidas, que ficam sujeitas a multas e penalidades.
Ele diz que os titulares dos dados vazados podem ser indenizados em um processo na Justiça, caso consigam provar que houve prejuízo financeiro ou moral decorrente da falha.
Os sócios que tiveram suas informações vazadas devem tomar medidas de segurança. Um exemplo, é a contratação de uma empresa que faça o monitoramento do crédito por meio do CPF do indivíduo.
“Se alguém tentar se passar pelo titular dos dados, isso pode ser identificado”, diz Leite.
Pela nova lei geral de proteção de dados, que passará a valer em agosto, as empresas terão de notificar os clientes que tiveram seus dados vazados. Hoje, no entanto, não há legislação específica em vigor para casos como este.
Em nota, o Palmeiras disse ter entrado em contato com a empresa para apurar os fatos.
“A FutebolCard, prestadora de serviços responsável pelos sistemas de venda de ingressos e de gestão do programa de sócio torcedor, assumiu uma falha na proteção dos dados cadastrais de torcedores de Palmeiras e de outros clubes. Segundo a empresa, não houve divulgação de dados financeiros, como por exemplo número de cartão de crédito.”
Segundo o clube, a empresa afirmou que a falha foi corrigida e que ela se pronunciaria ainda nesta quarta-feira (5) a respeito do vazamento. A FutebolCard ainda não havia sido se manifestado até a conclusão desta edição.