Site do Procon de SP deixa informações pessoais vulneráveis

Dados trafegam por sistema sem criptografia em cadastro para bloquear telemarketing

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

São Paulo

O sistema do Procon-SP para bloquear ligações indesejadas de telemarketing​ pode expor os dados pessoais de usuários que se inscrevam na plataforma. Segundo o órgão, mais de 2 milhões de consumidores já registraram os seus números em todo o estado.

No site  http://www.procon.sp.gov.br/bloqueiotelef/, o consumidor registra seus telefones fixos e móveis e, após 30 dias, as empresas ficam proibidas de fazer ligações telefônicas de telemarketing para os números. 

Para se cadastrar, o consumidor precisa fornecer informações como nome completo, CPF, RG, telefone e endereço. 

A reportagem fez o teste e preencheu o formulário enquanto usava um programa para analisar a conexão. Com isso, foi possível ler todos os dados que o próprio repórter estava inserindo no cadastro.

Esse procedimento pode ser a base para um criminoso descobrir informações pessoais de outros usuários do site. 

O Agora pediu a especialistas em cibersegurança que analisassem o site. Eles apontaram o mesmo problema. O site usa o protocolo HTTP para fazer a conexão entre sistema e usuários. Esse é quem dita as normas de como os dados transitam nessas duas pontas e não usa criptografia (escrita codificada que esconde o conteúdo original).

Esse método aos poucos vem sendo substituído pelo HTTPS (o S é de “seguro”), no qual os dados são criptografados. “Quando a conexão HTTP não está encriptada [o que acontece no HTTPS], seus dados podem ser interceptados e você pode ser vítima de golpes”, afirma Yasodara Córdova, especialista em tecnologia e ex-pesquisadora em Harvard. 

Segundo Lukas Rypacek, diretor de engenharia da empresa de cibersegurança Avast, qualquer pessoa no mesmo wi-fi ou com acesso a qualquer ponto pelo qual a informação trafegue --provedores de internet, por exemplo-- poderia ter acesso ao conteúdo. “Os dados podem ser facilmente observados [por terceiros] e o usuário não vai perceber nada”, diz.

Um ataque mais sofisticado poderia fazer com que fossem exibidas informações falsas para o usuário, como uma cópia do site do Procon com vírus. O uso do HTTPS faz com que navegadores (programas como o Internet Explorer e o Google Chrome) exibam um pequeno cadeado ao lado do endereço da página, representando uma conexão segura. Isso serve como um certificado de que aquele é o site que diz ser (e não uma cópia mal intencionada do site do Procon, por exemplo). 

Por suas vantagens em privacidade e segurança, o HTTPS cresce como o padrão na internet. Segundo dados do W3Techs, que analisa os 10 milhões de sites mais acessados no mundo, a tecnologia é adotada por 53,8% das páginas. Superou os 50% em abril. 

Resposta

O Procon-SP informa que diante das indagações apresentadas pela reportagem, notificará a Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), empresa do governo do Estado responsável pelo armazenamento dos dados da Fundação, a prestar esclarecimentos sobre a denúncia da possibilidade de invasão de dados feita pelo jornal. 

O órgão diz ainda que, a partir da segunda quinzena de agosto, a nova gestão do Procon-SP implantará um novo site para o bloqueio de telemarketing que contará com sistemas atualizados de segurança, inclusive o protocolo HTTPS. 

Já a Prodesp esclarece que o armazenamento de informações hospedadas no Datacenter da Prodesp é totalmente seguro e certificado pelo ISO 27.000, de Sistema de Gestão de Segurança da Informação, e que o caso pontual citado pela reportagem será submetido à avaliação para que, se necessário, as medidas cabíveis sejam tomadas. 

Para Bruno Bioni, advogado e diretor do Data Privacy Brasil, é preocupante que uma ferramenta criada para que as pessoas não sejam importunadas por empresas que já possuem alguns de seus dados não tenha mecanismos básicos de segurança de dados. 

"Eles se propõem a ser uma resposta ao abuso de telefonemas, um socorro, mas são vulneráveis na exposição desse e de outros dados cadastrados. De uma maneira geral, o criminoso que tiver acesso ao CPF de alguém por meio desse site poderá utilizá-lo para cometer fraudes, como fazer empréstimos, abrir crediários ou realizar compras. Uma vez que o dado tenha vazado, o prejuízo é imensurável, pois ele estará para sempre perdido online. Por isso, é necessário uma prevenção desse tipo de situação", diz ele.

O advogado acredita ser importante que o Procon-SP siga o protocolo de segurança de dados. "Todos, principalmente os órgãos públicos, precisam compreender a complexidade da implementação de segurança de dados. As leis de informação são aplicáveis a todos os setores e o exemplo deveria ser dado principalmente pelo setor público. O Procon precisa ter uma maior capacidade de proteger as informações de seus usuários", afirma Bioni. 

Site da Anatel promete serviço similar e possui segurança

A plataforma Não Me Perturbe (https://www.naomeperturbe.com.br), criada pelas operadoras de telefonia para consumidores que não querem receber chamadas de telemarketing, já recebeu 1.633.469 usuários cadastrados e 1.815.368 pedidos desde seu lançamento, um mês atrás, segundo informações SindiTelebrasil (sindicato que reúne as companhias do setor).

O portal tem como objetivo permitir ao consumidor evitar ligações que visam vender pacotes de telefone, internet ou TV por assinatura. Criada pelas empresas de telefonia e por determinação da Anatel (Agência Nacional de Telecomunicações), a lista promete livrar consumidores de ligações das companhias participantes 30 dias após a inclusão dos dados do consumidor.

A empresa que desrespeitar a lista pode receber multa com valor de até R$ 50 milhões. Reclamações de consumidores devem ser feitas pela central telefônica da Anatel, no número 1331.

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

Tópicos relacionados

Leia tudo sobre o tema e siga:

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.