O Vasco , que vive em meio a uma especulação sobre a chegada do atacante Balotelli, realizou nesta semana um cadastro para que seus sócios torcedores possam votar no próximo presidente do time. No entanto, o site responsável por isso expôs os dados de milhares de usuários, incluindo nome completo, data de nascimento e CPF, segundo apurou o Tecnoblog .
Em sua política de privacidade, o clube prometia respeitar a LGPD (Lei Geral de Proteção de Dados Pessoais).
O site Eleja Online, que cuida desta eleição do Vasco, permitia acessar dados pessoais usando uma URL específica incluindo o número da matrícula; isto foi confirmado pelo Tecnoblog . O navegador exibia os seguintes dados:
- ID
- nome completo
- CPF
- data de nascimento
- número da matrícula
- categoria (geral, patrimonial, remido, benfeitor remido)
O especialista em segurança que analisou essa falha conta ao Tecnoblog que criou um script (feito em PHP com cURL) para “chutar” o número da matrícula usando sequências aleatórias e gravar os resultados válidos. “De umas 7 mil consultas, peguei esses 5.590 cadastros, isso em menos de 2 horas rodando”, diz a fonte.
Segundo ele, a página usava o Cloudflare — que protege sites contra DDoS e outras ameaças — mas não havia nada para prevenir ataques de força bruta (brute force). Dessa forma, foi possível coletar milhares de dados sem qualquer bloqueio.
Você viu?
Vasco prometia privacidade nos dados
A página de cadastro está atualmente fora do ar. Ao visitá-la, surgia um pop-up com a política de privacidade, mencionando “o comprometimento da Assembleia Geral Ordinária do Club de Regatas Vasco da Gama com a transparência e com a proteção dos seus dados pessoais”.
No entanto, o texto — atualizado pela última vez em 10 de novembro — dizia erroneamente que a LGPD ainda não está em vigor; na verdade, ela começou a valer em setembro. Além disso, o site fez algumas promessas que não pôde cumprir, por exemplo: “garantimos que somente a Assembleia Geral do Club de Regatas Vasco da Gama tem acesso aos seus dados pessoais coletados por este website”.
Temos também o seguinte: “o presidente da Assembleia Geral do Club de Regatas Vasco da Gama adotou todas as medidas de segurança por meio de uma seleção criteriosa da empresa responsável pela coleta de dados e operação do sistema de eleição virtual”.
As punições da LGPD variam de uma advertência a uma multa de 2% sobre o faturamento anual, limitada a R$ 50 milhões. Isso depende da ANPD (Autoridade Nacional de Proteção de Dados), cujos membros ainda estão sendo definidos. No entanto, quem for afetado por um vazamento pode entrar com processo na Justiça.
Os dados expostos de sócios torcedores podem deixar a eleição do Vasco ainda mais tumultuada. A votação online deve ocorrer neste sábado (14), mas os candidatos Leven Siano, Sérgio Frias e Alexandre Campello (atual presidente) renunciaram. Leven afirma que já é presidente eleito por outra votação que ocorreu no sábado passado (7), e cujo efeito foi suspenso pelo STJ (Superior Tribunal de Justiça).
O Tecnoblog entrou em contato com o Vasco e com o Eleja Online, mas não obteve resposta.