Informações sensíveis ficam expostas por falhas em sites governamentais.
Na última semana, dados de estudantes inscritos no Enem vazaram.
Dados de candidatos do Enem vazaram a partir do site do Inep na semana passada. O vazamento é significativo, mas não é único. Por meio de buscas, é fácil identificar que outros órgãos públicos também deixam dados na web. O G1 reuniu alguns exemplos para mostrar as falhas na proteção da privacidade e intimidade dos cidadãos brasileiros.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A coluna Segurança para o PC do G1 tentou localizar dados deixados por órgãos públicos na web. A busca foi limitada a apenas domínios do governo brasileiro – gov.br – embora domínios particulares também, eventualmente, contenham dados do governo, postados por servidores públicos. Confira abaixo alguns exemplos:
Uma lista de funcionários da Secretaria de Saúde de Tocantins não se limita a divulgar só o nome e o cargo das pessoas. A data de nascimento, o CPF, endereço de trabalho, o telefone do trabalho e também o IP da máquina a partir da qual fizeram o cadastro no sistema estão registrados em uma planilha do Excel com o nome “Nova planilha do Microsoft Excel.xls”, disponível no site do governo. A lista inclui dados de servidores públicos que vão de digitadores, auxiliares administrativos até um diretor de hospital de um coordenador de uma central de processamento de dados (CPD).
O e-mail dos funcionários também está na lista, tornando-os alvos fáceis para ataques de phishing. Um criminoso poderia facilmente criar um e-mail realista usando os dados pessoais disponíveis na tabela.
Outro arquivo, deixado na rede pelo Instituto de Desenvolvimento Sustentável e Meio Ambiente do Rio Grande do Norte (Idema), lista os membros de um grupo de trabalho de “ações compartilhadas” (GTAC). Além do nome dos membros do grupo, o RG, o CPF, o e-mail, o telefone, a data de nascimento e o número da conta bancária estão disponíveis na planilha.
Um edital da Secretaria de Educação de Itajaí (SC) lista o número de identidade de mais de 300 pessoas.
Um arquivo PDF hospedado no site doDetran de Alagoas contém 26 páginas de nomes completos com seus respectivos números de CPF.
Já a Secretaria de Assistência Social, Trabalho e Habitação de Santa Catarinatem em seu site uma relação de representantes que compareceram em uma conferência de direitos da criança e do adolescente. CPF, RG, número de telefone e endereços de e-mail – muitos claramente pessoais, em domínios de provedores gratuitos – estão no arquivo.
A Universidade Estadual do Piauí (UESPI) divulga uma lista de fiscais do vestibular, com o CPF, nome completo e número da matrícula dos 390 alunos participantes.
No site da Universidade Federal do Espírito Santo (UFES), um documento da Associação Nacional dos Dirigentes das Instituições Federais de Ensino Superior está disponível. O arquivo possui quatro páginas, com RG, CPF e endereço completo de diversos professores em cargos importantes de várias instituições de ensino federais.
Outro lado
O G1 entrou em contato com todos os órgãos públicos citados nesta coluna. A Secretaria da Saúde de Tocantins disse que os dados de 127 digitadores foram expostos por conta de uma falha. A instituição diz que, após o aviso do G1, "providenciou a retirada de tal lista da internet".
O G1 entrou em contato com todos os órgãos públicos citados nesta coluna. A Secretaria da Saúde de Tocantins disse que os dados de 127 digitadores foram expostos por conta de uma falha. A instituição diz que, após o aviso do G1, "providenciou a retirada de tal lista da internet".
O Idema, do Rio Grande do Norte, informou que vai "providenciar a exclusão do arquivo" encontrado pelo G1.
A Secretaria de Educação de Itajaí (SC) informou que costuma publicar os números de documentos de identidade em diversos documentos, para evitar confusão em caso de homônimos. Segundo a assessoria de imprensa do órgão, “não há redação ou lei que diga que não pode publicar os documentos pessoais”.
De acordo com a assessoria de imprensa do Detran-AL, a lista traz os CPFs das pessoas para evitar confusão em caso de homônimos e o órgão considera que “não há problema algum” em divulgar os dados no site.
A Secretaria de Assistência Social, Trabalho e Habitação de Santa Catarina afirmou, por nota, que "os dados publicados com informações pessoais constantes em seu sítio na internet, não eram de conhecimento do Gabinete". Após serem informados pelo G1, foi solicitada a retirada de todo o conteúdo em questão.
A UESPI solicitou o envio de um e-mail relatando os dados encontrados na web para só depois se pronunciar. Após o envio dos dados, a entidade não respondeu mais às solicitações do G1.
A UFES informou que o funcionário responsável pela comunicação da universidade não estava disponível para contato.
Uma prova do que já se sabeOs arquivos encontrados pelo G1 apenas reforçam o que especialistas já sabem: é fácil encontrar dados como RG, CPF, endereço, telefone até números de contas bancárias na internet. Basta ter sido o “azarado” fazer negócios com a empresa ou instituição pública errada, e eles estarão lá.
Uma prova do que já se sabeOs arquivos encontrados pelo G1 apenas reforçam o que especialistas já sabem: é fácil encontrar dados como RG, CPF, endereço, telefone até números de contas bancárias na internet. Basta ter sido o “azarado” fazer negócios com a empresa ou instituição pública errada, e eles estarão lá.
Muitas organizações armazenam todas as informações que as pessoas estiverem dispostas a ceder; na maioria dos casos, nem tudo é necessário. Mesmo assim, a solicitação pelo documento está no formulário, e hoje já não questionamos porque todo mundo precisa saber nosso endereço de correspondência, mesmo que enviar cartas não esteja nos planos daquela entidade.
Isso não seria o problema se as informações fossem tratadas com cuidado. Mas esse não é o caso. Muitos dados são armazenados em arquivos simples do Excel, sem senha – embora a senha não seja impenetrável, já é um artifício que dificulta a vida de quem está caçando dados pessoais.
Centenas de contratos, contendo todas as informações das partes, ficam expostos na internet, na íntegra, sem qualquer tipo de censura nas partes sensíveis – que, na verdade, não contribuem em nada para a transparência do governo, mas comprometem a segurança de quem presta serviços aos órgãos públicos.
O caso do Inep não é isolado. Informações fornecidas à órgãos públicos estão sendo colocadas na internet a todo instante, mesmo sem intenção. O poder total das ferramentas de pesquisa da web não são de conhecimento público. Por causa disso, nem todos imaginam que uma planilha perdida em uma pasta pode acabar sendo facilmente encontrada com os termos certos de pesquisa.
Expor dados sigilosos não é transparênciaCPF e RG são dados sensíveis. São números que identificam cada cidadão brasileiro unicamente. Mesmo assim, são tratados com certo descaso. Sua presença em currículos, por exemplo, é desnecessária, mas algumas empresas pedem – sem motivo algum, além de armazenar dados que, para ela, não são úteis.
Expor esse tipo de informação não torna o governo transparente e coloca em risco desnecessário quem é contratado, ou mesmo quem simplesmente participa de programas do Estado, como concursos públicos. A transparência não é incompatível com o cuidado adequado com as informações. Apenas é preciso entender aquilo que é útil para o cidadão saber e o que não é.
A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (11) com o pacotão de dúvidas. Se você tem alguma pergunta sobre segurança ou vazamento de dados, deixe-a nos comentários. Até a próxima!
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttp://twitter.com/g1seguranca.