A Arena Porto-Alegrense expôs na Internet dados pessoais de torcedores gremistas. Foto: Lucas Uebel-Gremio.

A Arena Porto-Alegrense, empresa responsável pela administração do estádio no qual o Grêmio joga suas partidas, expôs na Internet dados pessoais de centenas de torcedores gremistas.

Segundo a reportagem do Baguete pode averiguar, os arquivos relacionados ao processo de cancelamento de ingressos emitidos desde o começo de outubro estavam disponíveis em um diretório público na Internet até a manhã desta sexta-feira, 24.

A reportagem procurou a Arena e o Grêmio para informar da exposição por volta das 7h. Ao redor das 9h30, os dados já não estavam disponíveis. Até a publicação desta matéria, as instituições não se pronunciaram sobre a falha.

Com 125 mil associados, o Grêmio tem um dos maiores quadros sociais do Brasil. Boa parte desses sócios estão registrados em modalidades que concedem prioridade na compra de ingressos e descontos no valor total.

Uma vez adquirido o ingresso, é possível cancelar o bilhete online para receber os valores pagos de volta, enviando para isso o arquivo da entrada já emitida e algum documento pessoal como RG ou carteira de motorista. 

São essas as informações que estavam disponíveis na Internet. O voucher contém a informação sobre o tipo de plano que o torcedor dispõe, além do seu CPF. Muitos dos documentos enviados estavam escaneados em cores e alta resolução (alguém inclusive enviou uma foto de um almoço, aparentemente por engano). 

A reportagem do Baguete foi avisada do erro por um leitor que prefere ficar anônimo.

Torcedor do Grêmio, o leitor estava no site nesta quarta-feira, 22, aguardando para comprar entradas para a partida entre o clube gaúcho e o argentino Lanús, pela final da Libertadores da América.

Como um bom profissional de TI, nosso leitor decidiu dar uma olhada no código fonte da página enquanto aguardava.

“Queria procurar alguma atualização no código ou algo que relacionasse as vendas que iniciariam em um horário específico. Dessa maneira que cheguei naquele diretório /public e comecei a navegar. Foi assim que encontrei os dados”, resume o leitor.

Nosso leitor avisou o Grêmio e a Arena por meio dos seus perfis no Twitter, mas não obteve retorno até o momento.

A falha que expôs os dados dos gremistas é uma configuração errada de permissão em diretório do sistema operacional do servidor nos quais as informações estão registradas.

De acordo com profissionais de TI ouvidos pelo Baguete, trata-se de um erro primário e que pode ser facilmente corrigido (como de fato foi).

Além de por acaso, como as informações foram encontradas pelo leitor do Baguete, esses dados poderiam ser encontrados por alguém mal intencionado usando o Google.

A pedido do Baguete, um profissional da área fez uma consulta no buscador, encontrando um arquivo com o regimento interno da arena hospedado no lado público do servidor para consulta.

Como a raíz de cada diretório está aberta no sistema da Arena, é possível "voltar" e navegar por áreas com dados sensíveis que deveriam estar fechadas. 

Os 825 arquivos podiam ser baixados com facilidade de uma vez só por meio de um script. 

Anedotas técnicas à parte, a armazenagem de dados pessoais dos torcedores gremistas em um diretório público indica uma política de segurança de informação deficiente, agravada pela ausência de reação depois do aviso.

A exposição dos dados acontece num contexto de relações turbulentas entre a OAS, construtora da Arena, e o Grêmio, principal cliente do estádio ou “equipamento”, como preferem dizer hoje em dia.

Inaugurada em 2012, a Arena é o sétimo maior estádio do Brasil, com capacidade para 55 mil pessoas. 

A construção foi tocada pela OAS, que entrou com a maior parte do capital. Em troca, a empreiteira seria sócia da empresa Arena Porto Alegrense, dividindo a gestão e os lucros do local com o Grêmio. 

Muita água passou por debaixo da ponte desde então. Com a crise econômica e os efeitos da Lava Jato, a OAS entrou em crise e demitiu três quartos dos seus funcionários. 

Do lado do Grêmio, há ressentimento sobre o que se percebe como a pouca influência do clube no seu próprio estádio (recentemente, o tricolor precisou jogar fora de casa para que a Arena recebesse um show da banda Coldplay).

Negociações chegaram a iniciar para que o Grêmio assumisse o controle total da Arena Porto-Alegrense e da gestão do estádio, mas elas foram encerradas em março. 

O ambiente interno da OAS e a falta de influência do Grêmio podem ter resultado nas práticas pouco profissionais que levaram à exposição dos dados dos torcedores.

Não que os clubes por conta própria sejam lá muito cuidadosos com os dados dos seus associados. Por exemplo, o Inter, para usar a comparação inevitável no caso do Grêmio, tinha por prática compartilhar entre todas as chapas concorrentes nas eleições do clube a base de dados com e-mails e telefones dos seus associados. A prática foi revelada por uma matéria do Baguete de 2012.