Uma brecha de segurança no site da Secretaria da Fazenda deixou expostos os holerites –com dados como CPF, RG, endereço e informações bancárias (além do demonstrativo de pagamento)– de cerca de 500 mil servidores públicos, como professores da rede estadual, durante pelo menos dois meses e meio.
O erro foi corrigido pelo órgão depois do contato da Folha no dia 16 de junho.
Um analista de sistemas, especialista em brechas de segurança que pediu para não ser identificado por razões contratuais, foi o responsável pela descoberta do problema. Ele, que é professor de matemática em uma escola do Estado, afirmou à Folha ter relatado a falha por e-mail no começo de abril –e que seu contato foi ignorado.
Após ter admitido a existência do problema, a secretaria disse que não conseguiu encontrar a mensagem em questão.
Para acessar os dados privados de outra pessoa era preciso que um internauta autenticado com número identificador e senha –dados que todo servidor ganha quando de seu primeiro salário– mudasse o chamado RS (registro no sistema), que era visível na barra de endereços do navegador de internet.
Todo servidor –entre eles funcionários das secretarias e dos hospitais estaduais, além dos docentes– tem um código RS e ganha uma senha para acessar o site quando de seu primeiro salário.
Esse RS também é publicado no Diário Oficial por algumas das secretarias –se um servidor da Secretaria da Educação tira uma licença-prêmio, por exemplo. Contatadas, as secretarias da Fazenda e da Educação não especificaram em que casos o número é publicado.
De posse desse tipo de dados, seria possível a ação de um estelionatário que usasse as informações para passar um golpe mais crível, por exemplo.
Por meio de sua assessoria de imprensa, a Secretaria da Fazenda reconheceu o problema e afirmou que fez "o ajuste necessário para eliminar qualquer possibilidade de acesso a informações de outro servidor pela barra de endereço".
O órgão não detalhou por quanto tempo a falha pode ter existido a vulnerabilidade (diz que está investigando), mas disse que o sistema de consulta de folha de pagamento existe desde 2003.
Segundo o especialista em segurança computacional e professor da Unicamp Diego Aranha, um usuário com conta no sistema –que poderia ter sido capturada de maneira ilícita– era "capaz de violar a privacidade de todos os servidores do Estado."
"O ataque também poderia ser automatizado, com um programa que pode ser confeccionado para explorar um grande número de contas", diz.
Para o professor –que não teve seus holerites expostos pelo site, já que a Unicamp é uma autarquia e, por isso, não usa o sistema em questão–, a brecha era de fácil prevenção. "Bastaria restringir as informações ao usuário autenticado e restringir solicitações por contas distintas."
Usuários de sites que armazenam dados privados, segundo Aranha, podem somente demandar esforços para uma maior atenção à segurança dos sistemas on-line. Nesse caso, contudo, o "cliente" está "simplesmente à mercê do governo", diz. "Caso haja dano real, recorrer à Justiça pode ser sempre uma solução", diz.
Outras informações visíveis eram número de PIS/Pasep, cargo, local de trabalho, bonificações e salários anteriores.
O salário dos servidores públicos de São Paulo é uma informação aberta –diferentemente dos documentos e outros dados pessoais que constam na folha de pagamento– e pode ser verificado por meio do site www.transparencia.sp.gov.br.
HISTÓRICO
Em junho, a Folha publicou descoberta semelhante de janelas na segurança digital de empresas privadas.
Foram descobertas problemas nos sites da Magazine Luiza e do Consórcio Luiza, no da loja brasileira da Fifa e no da Universidade Anhanguera. As companhias deixaram vulneráveis por meses informações pessoais como documentos, endereço e até dados bancários de consumidores.
Depois do contato da reportagem, as falhas foram rapidamente corrigidas.
Em comum, as empresas admitiram os erros e os classificaram como exceções, além de alegar comprometimento com a privacidade dos consumidores (leia neste link).
Veja abaixo infografia sobre o caso.
| Editoria de Arte/Folhapress | ||
 |