Torcedores do Club de Regatas Vasco da Gama tiveram seus nomes completos, data de nascimento e CPF vazados após uma falha disponibilizada por meio de uma URL específica. As informações expostas seriam utilizadas para que os torcedores participassem das eleições do novo presidente do clube carioca, que ocorreu no sábado (14). O vazamento infringe a Lei Geral de Proteção de Dados (LGPD).

Todas as informações estavam hospedadas no site Eleja Online, que ofereceu a realização do cadastro durante a última semana. Mas a lacuna permitiu que pessoas de fora acessassem dados pessoais de milhares de usuários por meio de uma URL incluindo apenas o número da matrícula. No navegador, era exibido ID, nome completo, CPF, data de nascimento, número da matrícula e a categoria (geral, patrimonial, remido, benfeitor remido, etc.).

Reprodução

Torcedores do Vasco tiveram seus dados vazados por conta de uma falha estabelecida em uma URL específica. Créditos: Enzozo/Shutterstock

A plataforma utilizava o Cloudflare, que funciona como uma espécie de protetor de sites contra DDoS e outras ameaças, mas não havia outros meios ou defesas para prevenir ataques de força bruta. Atualmente, a página de cadastro está fora do ar.

Jorge Salgado foi eleito como novo presidente do clube, mas o candidato Leven Siano, que também buscava pelo cargo, ainda briga na Justiça para validar o resultado da eleição que ocorreu no último dia 7 e foi suspenso pelo Superior Tribunal de Justiça (STJ).

LGPD

Quando o torcedor visitava a página de cadastro, era exibida em tela um pop-up com a política de privacidade, que inclusive mencionava “o comprometimento da Assembleia Geral Ordinária do Club de Regatas Vasco da Gama com a transparência e com a proteção dos seus dados pessoais”. Mas o texto destaca que a LGPD ainda não estava em vigor, sendo que a norma passou a valer em setembro.

Além disso, o site afirmou que “garantimos que somente a Assembleia Geral do Club de Regatas Vasco da Gama tem acesso aos seus dados pessoais coletados por este website”, o que claramente não foi cumprido.

Reprodução

Clube e site de eleições online podem ter problemas com a LGPD por conta do vazamento de dados. Créditos: PopTika/Shutterstock

Ainda na política de privacidade, o usuário podia conferir o seguinte trecho: “o presidente da Assembleia Geral do Club de Regatas Vasco da Gama adotou todas as medidas de segurança por meio de uma seleção criteriosa da empresa responsável pela coleta de dados e operação do sistema de eleição virtual”.

Cabe destacar que o descumprimento da LGPD pode acarretar multas de 2% sobre o faturamento anual, limitada a R$ 50 milhões. Quem for afetado por um vazamento como este pode entrar com processo na Justiça.

Fonte: Tecnoblog/Uol