Olhar Digital > Segurança e Privacidade > De CPF a signo chinês: site de venda de ingressos vazava seus dados

De CPF a signo chinês: site de venda de ingressos vazava seus dados

Portal BuyTicket permitia livre acesso às informações pessoais de uma pessoa apenas com seu CPF
Por Rodrigo Mozelli, editado por Bruno Capozzi 28/10/2025 06h08
Pessoa digitando em um teclado de notebook com um sinal de alerta pairando sobre o teclado
Empresa admitiu a vulnerabilidade e afirmou que a corrigiria; fizemos novo teste (Imagem: VRVIRUS/Shutterstock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Na era digital, com a quantidade cada vez maior de dados e informações que compartilhamos online, fica mais e mais difícil mantê-los seguros, pois os hackers fazem de tudo para encontrar uma brecha nos sistemas de internet.

Ofertas
Cis Cola Em Bastão Fix 34 Gramas, Blister
Vendido por Amazon
Cis Cola Em Bastão Fix 34 Gramas, Blister
De: R$ 9,60
Por: R$ 7,60
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)
Vendido por Amazon
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)
Por R$ 38,70
Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)
Vendido por Amazon
Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)
De: R$ 31,40
Por: R$ 21,77
Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10
Vendido por Amazon
Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10
De: R$ 21,00
Por: R$ 16,63
Tilibra - Estojo Box Académie Cinza
Vendido por Amazon
Tilibra - Estojo Box Académie Cinza
De: R$ 106,90
Por: R$ 59,95
Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)
Vendido por Amazon
Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)
Por R$ 34,90
Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite
Vendido por Amazon
Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite
De: R$ 9,90
Por: R$ 7,20
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy - Preto
Vendido por Amazon
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy - Preto
Por R$ 38,80
Pentel Kit Caneta Pincel Brush Sign Pen 06 Cores Tradicionais KITBRUSH-6T
Vendido por Amazon
Pentel Kit Caneta Pincel Brush Sign Pen 06 Cores Tradicionais KITBRUSH-6T
De: R$ 89,26
Por: R$ 69,70
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 96 Folhas, Verde
Vendido por Amazon
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 96 Folhas, Verde
Por R$ 8,90
Tilibra - Planner Grampeado 17,8 x 25,4 cm Kraftwork 90 G 2026 - Be The Change
Vendido por Amazon
Tilibra - Planner Grampeado 17,8 x 25,4 cm Kraftwork 90 G 2026 - Be The Change
Por R$ 22,90
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy (Azul-Escuro)
Vendido por Amazon
Estojo Escolar Box Grande Infantil Organizador Para Lapis Feminino Masculino Nylon Com Divisoria Necessarie Ziper Resistente Marca Calmfy (Azul-Escuro)
De: R$ 42,99
Por: R$ 30,00
Tablet VAIO TL12 8GB 256GB Octa-Core, Tela AMOLED 12.6” 2.5K, com Teclado de Conexão Inteligente e Caneta Ativa, 5G WiFi, Câmera 13MP + Selfie 12MP, 10.090mAh, Android 15 – Preto
Vendido por Amazon
Tablet VAIO TL12 8GB 256GB Octa-Core, Tela AMOLED 12.6” 2.5K, com Teclado de Conexão Inteligente e Caneta Ativa, 5G WiFi, Câmera 13MP + Selfie 12MP, 10.090mAh, Android 15 – Preto
Por R$ 3.199,00
Carregador Portátil Baseus Digital Display Power Bank carregamento rápido 15W/22.5W (Preto 22.5W, 10000, Milliamp Hours)
Vendido por Amazon
Carregador Portátil Baseus Digital Display Power Bank carregamento rápido 15W/22.5W (Preto 22.5W, 10000, Milliamp Hours)
De: R$ 249,99
Por: R$ 129,99
Controle Remoto Tv Samsung Smart
Vendido por Amazon
Controle Remoto Tv Samsung Smart
De: R$ 19,90
Por: R$ 7,39
STAEDTLER Caneta Ponta Fina Triplus Fineliner 0.3mm Estojo 8 Cores Sortidas + 2-334 BK10 TA - Corpo Ergonômico Triangular – Ideal para Escrita e Bullet Journal
Vendido por Amazon
STAEDTLER Caneta Ponta Fina Triplus Fineliner 0.3mm Estojo 8 Cores Sortidas + 2-334 BK10 TA - Corpo Ergonômico Triangular – Ideal para Escrita e Bullet Journal
De: R$ 76,53
Por: R$ 31,75
Nobreak Interativo XNB 720 BIvolt Preto Intelbras
Vendido por Amazon
Nobreak Interativo XNB 720 BIvolt Preto Intelbras
De: R$ 642,59
Por: R$ 481,00
Tilibra - Estojo Tilibra Box Academie Preto
Vendido por Amazon
Tilibra - Estojo Tilibra Box Academie Preto
De: R$ 85,90
Por: R$ 66,99
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
De: R$ 4.699,00
Por: R$ 3.799,00
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
Vendido por Amazon
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
De: R$ 316,25
Por: R$ 225,90
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
Vendido por Amazon
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
Por R$ 396,55
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
Vendido por Amazon
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
De: R$ 399,99
Por: R$ 269,99
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
Vendido por Amazon
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
De: R$ 299,00
Por: R$ 216,11
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
Vendido por Amazon
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
De: R$ 84,90
Por: R$ 79,90
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
Vendido por Amazon
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
Por R$ 198,00
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
Vendido por Amazon
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
Por R$ 108,99
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 275,90
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
Vendido por Amazon
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
De: R$ 1.156,80
Por: R$ 948,90
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
Vendido por Amazon
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
De: R$ 2.699,00
Por: R$ 2.069,90
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
De: R$ 6.149,00
Por: R$ 5.489,00
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
Vendido por Amazon
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
Por R$ 959,00

Praticamente todos os dias vemos notícias de vazamento de dados, como senhas, nomes completos, endereços, etc. Um dos mais recentes, por exemplo, envolveu o Gmail, com milhões de senhas vazadas. E isso ocorre no mundo todo, em maior ou menor escala, como o caso que o Olhar Digital vai contar abaixo.

Tela de cadastro do BuyTicket
Tudo acontecia ao clicar em “Cadastrar” e inserir seu CPF no site da BuyTicket (Imagem: Reprodução)

Vazamento de dados via CPF estava acontecendo sutilmente

Na semana passada, o Olhar Digital recebeu uma denúncia do ethical hacker Luiz Le Fort, na qual o portal de venda e compra de ingressos BuyTicket estava vazando dados apenas com a inserção de seu CPF. Contudo, a forma como isso estava acontecendo era “invisível” a quem pouco ou não conhece informática. Funcionava assim:

  • Você abria o site da BuyTicket, entrava na área de login e, então, em “Cadastrar“;
  • A seguir, ao digitar seu CPF e clicar fora da caixa de inserção do número do documento, a caixa de baixo, na qual deveria ser digitado seu nome, o trazia automaticamente — ou seja, seu nome era exibido apenas com a inserção de seu CPF;
  • Mas demais dados também estavam vazando. No caso, era necessário acionar a opção “Inspecionar” do navegador para ver o que estava acontecendo. Nesta página, desenvolvedores podem analisar informações da página HTML do site;
  • Uma vez nessa página, ao acessar uma categoria específica, um código apresentava várias outras informações da pessoa, como endereço, nome da mãe, telefone e, até, o signo chinês;
  • O time de tecnologia do Olhar Digital foi acionado e confirmou o vazamento.
  • Detalhe: fizemos alguns testes e ninguém tinha cadastro prévio no site.
Ao abrir a página “inspecionar”, uma página HTML como esta era aberta, exibindo vários dados do usuário. Nós apagamos os dados mais sensíveis e mantivemos apenas o signo, signo chinês e nacionalidade. (Imagem: Reprodução/Olhar Digital)

Entramos em contato com a BuyTicket para informar o que estava acontecendo. Em resposta, a empresa afirmou que o sistema utilizado é legal.

“Esclarecemos que o processo mencionado faz parte do nosso fluxo de Know Your Customer (KYC), etapa essencial para a validação e segurança de novos cadastros em nossa plataforma. O KYC é um procedimento amplamente utilizado por empresas que realizam transações financeiras — como bancos, e-commerces e serviços digitais — tendo como principal objetivo verificar a identidade dos usuários e prevenir fraudes“, explicou, em nota.

Ainda, a empresa salientou que seu website utiliza APIs responsáveis por consultar dados públicos e privados, incluindo a Receita Federal. “A ferramenta citada é de uso aberto e pode ser contratada por qualquer companhia“, prosseguiu.

Porém, a BuyTicket admitiu a vulnerabilidade e informou que corrigiria o problema. Após este contato, realizamos um novo teste e, de fato, as informações vazadas não estão mais aparecendo.

“Reforçamos que, diante da situação apontada, removemos consultas desnecessárias e mantivemos apenas o mínimo estritamente necessário para assegurar a proteção de nossos clientes e de toda a operação”, afirmou, garantindo que, “apesar do uso do KYC, nenhum dado de usuário cadastrado em nossa base foi exposto“.

Leia mais:

Parte jurídica

Leandro Alvarenga, consultor de privacidade e segurança e colunista do Olhar Digital, afirmou que o incidente demonstra “indícios claros” de violação à Lei Geral de Proteção de Dados (LGPD), “em especial aos princípios da segurança, da prevenção e da confidencialidade”.

O especialista disse que isso está comprovado pela resposta dada pela empresa ao Olhar Digital. “A própria manifestação da empresa confirma que o incidente decorreu de falha de programação em sua integração via API”, continuou.

Escrito "LGPD" em fundo amarelo ao lado de um cadeado aberto com a bandeira do Brasil impressa
Especialista aponta que a LGPD não foi respeitada neste caso (Imagem: SkazovD/Shutterstock)

Ele explicou ainda que, apesar de parte das informações serem de bases públicas, é de responsabilidade da companhia como vai tratar tais dados, “devendo observar os deveres de sigilo e de adoção de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados”.

Alvarenga também questiona a justificativa dada pela BuyTicket de que a ferramenta utilizada no website é aberta e que qualquer outra empresa pode utilizá-la, indicando que isso “não exime o controlador de responsabilidade”.

“O fato de utilizar um provedor de dados público ou privado não autoriza a exposição desses dados em ambiente acessível ao público, tampouco o tratamento sem base legal ou sem medidas adequadas de segurança”, detalhou.

O consultor de segurança também indicou os passos que a BuyTicket deveria realizar após constatar a vulnerabilidade:

  • Comunicar imediatamente o incidente à Autoridade Nacional de Proteção de Dados (ANPD), indicando a natureza dos dados afetados, medidas técnicas e de segurança utilizadas, riscos envolvidos e medidas adotadas;
  • Notificar os donos dos dados vazados, caso o ocorrido possa trazer riscos ou danos relevantes, permitindo que tomem providências para se protegerem de cibercriminosos;
  • Documentar internamente o fato e revisar seus fluxos de segurança, de modo que evite que isso se repita;
  • Revisar as integrações de APIs e o uso de serviços de terceiros, “assegurando que contratos e protocolos de comunicação prevejam medidas adequadas de segurança e de confidencialidade”.

Alvarenga ainda ressaltou a necessidade do cumprimento de boas práticas de KYC e trabalhar as boas maneiras em conjunto com a LGPD. “O uso de tais procedimentos deve sempre estar condicionado aos princípios da necessidade, minimização e finalidade, de modo que apenas os dados estritamente necessários sejam tratados, e jamais expostos de forma inadvertida”, afirmou.

O Olhar Digital entrou novamente em contato com a BuyTicket para questionar se entraria (ou se já entrou) em contato com a ANPD para informar a situação e se informou as pessoas afetadas pela vulnerabilidade. Estamos aguardando o retorno e, assim que o tivermos, atualizaremos esta reportagem.

Rodrigo Mozelli
Redator(a)
Rodrigo Mozelli no Instagram Rodrigo Mozelli no Twitter Rodrigo Mozelli no LinkedIn Rodrigo Mozelli no Youtube

Rodrigo Mozelli é jornalista formado pela Universidade Metodista de São Paulo (UMESP) e, atualmente, é redator do Olhar Digital.

Bruno Capozzi
Editor(a)
Bruno Capozzi no Instagram Bruno Capozzi no Twitter Bruno Capozzi no LinkedIn

Bruno Capozzi é jornalista formado pela Faculdade Cásper Líbero e mestre em Ciências Sociais pela PUC-SP, tendo como foco a pesquisa de redes sociais e tecnologia.

Ícone tagsTags: