Um servidor desprotegido acabou expondo dados de milhares de sócio-torcedores do clube poliesportivo Palmeiras, conforme apuração exclusiva feita pela The Hack em parceria com o site norte-americano ZDNet. O ambiente vulnerável era propriedade da Futebol Card, plataforma online de venda de ingressos que também é utilizada por diversos clubes de futebol para gerenciar seus programas de sócio-torcedores — no caso, o vazamento afetou sobretudo o Avanti Palmeiras, como é chamado o programa do time paulista.
Analisando a brecha, a The Hack foi capaz de extrair quase 25 GB de arquivos do servidor em questão. Embora ele também armazenasse documentos relacionados com outros clubes (incluindo o Botafogo de Futebol e Regatas e o Sport Club do Recife), a maior parte do material dizia respeito ao Palmeiras. No total, detectamos nada menos do que 1.640 planilhas em formato CSV contendo dados cadastrais dos sócios-torcedores do programa Avanti — incluindo membros ativos e bloqueados por motivos diversos.
Entre as informações expostas nas planilhas, temos nome completo, CPF, data de nascimento, data de associação, gênero, estado civil, plano de associação, forma de pagamento, recorrência do pagamento, email de cadastro, número de telefone, endereço completo com CEP, tamanho da camiseta de torcedor e até mesmo comentários especiais deixados pelo associado no momento do cadastro. Também existem detalhes sobre os cartões contactless Mifare que são usados para acessar o estádio durante os jogos, incluindo código, dígito e status (gerado, recebido, retirado etc.).
Devido a grande quantidade de planilhas, foi impossível calcular o número total de sócio-torcedores afetados (existe a possibilidade de que os cadastros se repitam nas listagens). Contudo, analisando alguns arquivos, encontramos 44 mil membros ativos em apenas um dos relatórios e 9,7 mil bloqueados em outro. É interessante observar que, em dezembro de 2019, um blog especializado divulgou um balancete do Conselho de Orientação Fiscal alviverde (COF) revelando que o programa Avanti Palmeiras teria um total de 67 mil inscritos, sendo que apenas 60 mil estariam pagando a mensalidade em dia.
Risco de phishing e fraudes
Tal incidente cibernético pode ser considerado gravíssimo. Embora o vazamento não inclua dados que possam ser categorizados como sensíveis, as planilhas listam muitos detalhes sobre a associação dos torcedores do clube esportivo. Sendo assim, qualquer criminoso cibernético seria capaz de usar essas informações para aplicar golpes altamente personalizados, entrando em contato com as vítimas em nome do Avanti (por telefone ou por email) e convencendo-as a realizar um pagamento para uma conta de terceiros.
O risco desse tipo de fraude contra os associados do clube aumenta ainda mais se levarmos em conta que o vazamento também expôs alguns materiais oficiais de divulgação do programa, incluindo banners usados para emails oficiais (cabeçalho e rodapé), folhas de estilo CSS, imagens promocionais, logotipos em alta resolução e até mesmo favicons. Todo esse material facilita muito a vida do estelionatário na hora de criar páginas falsas ou emails maliciosos para campanhas de phishing.
Cloud misconfiguration
Vazamentos de dados por configurações inadequadas em servidores na nuvem são um problema recorrente no Brasil e no mundo. No caso, o ambiente vulnerável do Futebol Card era um simples bucket do Amazon Simple Storage Service (S3), solução de armazenamento em cloud da plataforma Amazon Web Services (AWS). Ao criar um bucket em tal serviço, os desenvolvedores costumam se esquecer de especificar seu grau de privacidade e acabam permitindo o acesso público aos arquivos contidos nele.
Um bucket público pode ter parte de seu conteúdo visualizado através de um simples navegador — basta que o internauta saiba exatamente qual é a sua URL para acessar um índice XML contendo os primeiros documentos presentes no servidor. Um atacante mais experiente, por outro lado, pode usar o AWS Command Line Interface (CLI) para explorar todos os arquivos do ambiente, tendo poder total para apagar conteúdos, enviar scripts maliciosos e até mesmo baixar todos os documentos ali presentes.
A The Hack notificou a Futebol Card na última quinta-feira (30), e, embora a companhia não tenha retornado o nosso contato, o servidor foi devidamente protegido já no dia seguinte (31). Contudo, é impossível determinar quantas pessoas tiveram acesso às planilhas até tal data. O departamento de comunicação do Avanti Palmeiras também não se pronunciou sobre o assunto até o fechamento desta reportagem.
Atualização: dia 05/02, às 15h16
O Palmeiras finalmente se pronunciou a respeito do incidente. Confira abaixo o comunicado oficial do clube, enviado para alguns veículos de mídia.
A Sociedade Esportiva Palmeiras entrou em contato com a empresa FutebolCard para apurar os fatos divulgados em reportagem na manhã desta quarta-feira (05).
A FutebolCard, prestadora de serviços responsável pelos sistemas de venda de ingressos e de gestão do programa de sócio torcedor, assumiu uma falha na proteção dos dados cadastrais de torcedores de Palmeiras e de outros clubes. Segundo a empresa, não houve divulgação de dados financeiros, como, por exemplo, número de cartão de crédito.
A FutebolCard garantiu que a falha foi corrigida assim que a informação foi recebida e se posicionará ainda nesta quarta sobre o fato.
A The Hack continua no aguardo da resposta do Futebol Card.
- Leia mais notícias sobre Vazamentos.