Sistema do Procon pode deixar dados pessoais vulneráveis

Em reportagem realizada pelo Blog Agora da Folha de São Paulo, os colunistas Laíssa Barros e Raphael Hermandes, apuraram que o site do Procon-SP encontra falhas que podem expor os dados pessoais de usuários que se inscrevam na plataforma de bloqueio de ligações indesejadas de telemarketing. 

Site de bloqueio de ligações

Bloqueio do recebimento de ligações de telemarketing (https://www.procon.sp.gov.br/bloqueiotelef/index.asp)

Segundo o próprio órgão, essa plataforma conta com mais de 2 milhões de consumidores que registraram seus números de telefones fixos e móveis. 

Para solicitar o bloqueio destas ligações, o consumidor precisa fornecer informações como nome completo, CPF, RG, telefone e endereço. Após o registro, o prazo é de 30 dias para que as empresas fiquem proibidas de fazer ligações telefônicas de telemarketing para os consumidores.

Leia também: Pesquisas revelam informações sobre proteção de dados no Brasil e no mundo

Como foi descoberta a vulnerabilidade?

A reportagem citada, que pode ser acessada aqui, baseou-se em testes realizados pela equipe, que preencheu o formulário de cadastro enquanto rodava um programa para análise de conexão. Enquanto o programa rodava, foi possível ler todos os dados que o repórter estava inserindo no cadastro do site. 

Esse simples ato poderia ter sido realizado por qualquer criminoso com o fim de descobrir informações pessoais dos usuários do site. 

Após o experimento, a equipe de reportagem solicitou que especialistas de cibersegurança, analisassem o site.

A falha de segurança

Os especialistas apontaram que o site usa o protocolo HTTP (Hypertext Transfer Protocol) para fazer a conexão entre o sistema e os usuários. Nesse protocolo as informações transitam de maneira muito insegura, motivo pelo qual é amplamente  substituído pelo HTTPS (Hypertext Transfer Protocol “Secure”), que permite um tráfego seguro e criptografado. 

Yasodara Córdova, especialista em tecnologia e ex-pesquisadora em Harvard, afirma que “Quando a conexão HTTP não está encriptada [o que acontece no HTTPS], seus dados podem ser interceptados e você pode ser vítima de golpes”. 

O advogado, professor e fundador do Data Privacy Brasil, Bruno Bioni, também fez a sua contribuição à reportagem. Falou de como é preocupante que uma ferramenta criada para que as pessoas não sejam importunadas por empresas que possuem alguns de seus dados não tenha mecanismos básicos de segurança destes mesmos dados.

“Eles se propõem a ser uma resposta ao abuso de telefonemas, um socorro, mas são vulneráveis na exposição desse e de outros dados cadastrados. De uma maneira geral, o criminoso que tiver acesso ao CPF de alguém por meio desse site poderá utilizá-lo para cometer fraudes, como fazer empréstimos, abrir crediários ou realizar compras. Uma vez que o dado tenha vazado, o prejuízo é imensurável, pois ele estará para sempre perdido online. Por isso, é necessários uma prevenção desse tipo de situação”. 

(…) “Todos os principais órgãos, precisam compreender a complexidade da implementação de segurança de dados. As leis de informação são aplicáveis a todos os setores e o exemplo deveria ser dado principalmente pelo setor público. O Procon precisa ter uma maior capacidade de proteger as informações de seus usuários. 

Resposta do Procon- SP

O Procon informou à equipe de reportagem do Agora, que notificará a Prodesp (Companhia de Processamento de Dados do Estado de São Paulo), a prestar esclarecimentos sobre as falhas de segurança encontradas pelo jornal. 

O órgão informa que, a partir dessa segunda quinzena de agosto, a nova gestão do Procon-SP tomará medidas de implementação de sistemas mais atualizados de segurança, incluindo o protocolo HTTPS. 

Um ano para a vigência da LGPD

Falta apenas um ano para a entrada em vigor da LGPD e os próprios órgãos do governo deixam a desejar com a inércia de implementações básicas de segurança de dados, que já vinham sendo executadas muito antes de se falar em uma legislação própria de proteção de dados. 

Lembrando que a partir de Agosto de 2020, as empresas que desrespeitarem a legislação poderão sofrer sanções de até R$50 milhões. 

Caso você tenha se sentido lesad@, as reclamações podem ser feitas através da Anatel, pelo número 1331.

 

[1] Reportagem completa: https://agora.folha.uol.com.br/grana/2019/08/site-do-procon-de-sp-deixa-informacoes-pessoais-vulneraveis.shtml