Dados trafegam por sistema sem criptografia em cadastro para bloquear telemarketing
O sistema do Procon-SP para bloquear ligações indesejadas de telemarketing? pode expor os dados pessoais de usuários que se inscrevam na plataforma. Segundo o órgão, mais de dois milhões de consumidores já registraram os seus números em todo o estado.
No site http://www.procon.sp.gov.br/bloqueiotelef/, o consumidor registra seus telefones fixos e móveis e, após 30 dias, as empresas ficam proibidas de fazer ligações telefônicas de telemarketing para os números.
Para se cadastrar, o consumidor precisa fornecer informações como nome completo, CPF, RG, telefone e endereço.
A reportagem fez o teste e preencheu o formulário enquanto usava um programa para analisar a conexão. Com isso, foi possível ler todos os dados que o próprio repórter estava inserindo no cadastro.
Esse procedimento pode ser a base para um criminoso descobrir informações pessoais de outros usuários do site.
O Agora pediu a especialistas em cibersegurança que analisassem o site. Eles apontaram o mesmo problema. O site usa o protocolo HTTP para fazer a conexão entre sistema e usuários. Esse é quem dita as normas de como os dados transitam nessas duas pontas e não usa criptografia (escrita codificada que esconde o conteúdo original).
Esse método aos poucos vem sendo substituído pelo HTTPS (o S é de “seguro”), no qual os dados são criptografados. “Quando a conexão HTTP não está encriptada [o que acontece no HTTPS], seus dados podem ser interceptados e você pode ser vítima de golpes”, afirma Yasodara Córdova, especialista em tecnologia e ex-pesquisadora em Harvard.
Segundo Lukas Rypacek, diretor de engenharia da empresa de cibersegurança Avast, qualquer pessoa no mesmo wi-fi ou com acesso a qualquer ponto pelo qual a informação trafegue --provedores de internet, por exemplo-- poderia ter acesso ao conteúdo. “Os dados podem ser facilmente observados [por terceiros] e o usuário não vai perceber nada”, diz.
Um ataque mais sofisticado poderia fazer com que fossem exibidas informações falsas para o usuário, como uma cópia do site do Procon com vírus. O uso do HTTPS faz com que navegadores (programas como o Internet Explorer e o Google Chrome) exibam um pequeno cadeado ao lado do endereço da página, representando uma conexão segura. Isso serve como um certificado de que aquele é o site que diz ser (e não uma cópia mal intencionada do site do Procon, por exemplo).
Por suas vantagens em privacidade e segurança, o HTTPS cresce como o padrão na internet. Segundo dados do W3Techs, que analisa os 10 milhões de sites mais acessados no mundo, a tecnologia é adotada por 53,8% das páginas. Superou os 50% em abril.
Resposta
O Procon-SP informa que, diante das indagações apresentadas pela reportagem, notificará a Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), empresa do governo do Estado responsável pelo armazenamento dos dados da Fundação, a prestar esclarecimentos sobre a denúncia da possibilidade de invasão de dados feita pelo jornal.
O órgão diz ainda que, a partir da segunda quinzena de agosto, a nova gestão do Procon-SP implantará um novo site para o bloqueio de telemarketing que contará com sistemas atualizados de segurança, inclusive o protocolo HTTPS.
Já a Prodesp esclarece que o armazenamento de informações hospedadas no Datacenter da Prodesp é totalmente seguro e certificado pelo ISO 27.000, de Sistema de Gestão de Segurança da Informação, e que o caso pontual citado pela reportagem será submetido à avaliação para que, se necessário, as medidas cabíveis sejam tomadas.
Fonte: G1 — 13/08/2019