Dados pessoais de sócios do Palmeiras ficam expostos na internet

Informações estavam em planilhas do FutebolCard, plataforma de venda de ingressos

São Paulo

Os dados de milhares de torcedores do Palmeiras filiados ao Avanti, programa de sócio-torcedor do clube, ficaram expostos no servidor do FutebolCard, plataforma online de venda de ingressos. As informações estavam em 1.640 planilhas, extraídas pelos sites The Hack e ZDNet.

As planilhas também tinham informações sobre torcedores do Botafogo e do Sport, mas a maior parte era de palmeirenses, segundo as publicações.

A Folha confirmou que a The Hack teve acesso aos dados, que recebeu a denúncia por meio da ZDNet e, em conjunto, a analisaram e comprovaram.

O trabalho analítico e de coleta dos dados começou a ser feito no último dia 26, um domingo. Constatado o problema, o site notificou a FutebolCard e o Avanti na quinta-feira (30), mas não obteve resposta de ambos. A falha no servidor foi corrigida um dia depois.

Elas conseguiram obter nome, data de nascimento, CPF, estado civil, plano de associação, email, telefone, endereço completo e forma de pagamento, além do tamanho de camisa dos torcedores. Há também detalhes sobre cartões usados para acessar o estádio durante os jogos.

O site encontrou 44 mil membros ativos em um dos relatórios e 9.500 mil bloqueados em outro. Isso não significa que esses números representem o total de participantes do programa.

Embora os dados dos cartões de créditos dos associados não estejam entre as informações vazadas, a falha permitiu acesso a dados que podem dar a qualquer hacker a chance de aplicar golpes em associados do Avanti.

Podem, por exemplo, fazê-los acreditar que representam o programa de sócio-torcedor, os convencendo a fazerem pagamentos a uma conta corrente ou fornecerem número do seu cartão de crédito.

Torcedores do Palmeiras durante partida contra o Junior de Barranquilla, na Libertadores do ano passado
Torcedores do Palmeiras durante partida contra o Junior de Barranquilla, na Libertadores do ano passado - Amanda Perobelli-10.abr.19/Reuters

As informações do FutebolCard estavam armazenadas em um serviço de nuvem configurado como público e que poderia ser encontrado facilmente usando sites e ferramentas de busca gratuitas na internet. Bastaria que o usuário acessasse a URL correta para conseguir baixar os dados.

A The Hack é um portal de notícias brasileiro sobre segurança da informação e segurança cibernética. Já a ZDNet é um site que reúne notícias, análises e pesquisas sobre tecnologia.

Para Renato Leite Monteiro, fundador do Data Privacy Brasil, o maior prejuízo às instituições envolvidas na falha pode ser à imagem delas, uma vez que isso pode afetar as reputações. Elas também estão sujeitas a multas e penalidades.

Ele diz ainda que os titulares dos dados vazados podem ser indenizados em um processo na Justiça, caso consigam provar que houve prejuízo financeiro ou moral decorrente da falha.

“Outras teorias dizem que o mero vazamento de dados pessoais, o mero fato de uma organização não conseguir assegurar um ambiente seguro para os dados, já seria passível de uma indenização. Já  existem decisões judiciais pelas quais seria possível pedir indenização pelo uso indevido, mesmo sem prova de dano efetivo”, explica.

Leite conta que até o Palmeiras pode ser acionado na Justiça, como responsável solidário. Ficaria isento, no entanto, caso comprovasse que não teve ingerência sobre os elementos que levaram o ambiente a não ser totalmente seguro.

Para o sócio que teve seu número vazado, algumas medidas podem ser adotadas por segurança, por exemplo a contratação de uma empresa que faça o monitoramento do crédito por meio do CPF do indivíduo. “Se alguém tentar se passar pelo titular dos dados, isso pode ser identificado”, explica.

Pela nova lei geral de proteção de dados, que passará a valer em agosto, as empresas teriam que notificar os clientes que tiveram seus dados vazados. Atualmente, porém, não há legislação específica em vigor para este caso.

Em nota, o Palmeiras disse ter entrado em contato com a empresa para apurar os fatos. "A FutebolCard, prestadora de serviços responsável pelos sistemas de venda de ingressos e de gestão do programa de sócio-torcedor, assumiu uma falha na proteção dos dados cadastrais de torcedores de Palmeiras e de outros clubes. Segundo a empresa, não houve divulgação de dados financeiros, como, por exemplo, número de cartão de crédito."

Segundo o clube, a empresa disse que a falha foi corrigida e que se posicionará ainda nesta quarta a respeito do vazamento. A FutebolCard não localizada pela reportagem para comentar.

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.