Hacker encontra problemas de segurança em diversos sites de governo e empresas
Edição nº 70 junho de 2011 – E quando o usuário encontra problemas nos portais, como faz? Uma reclamação feita em uma sexta-feira, por telefone, à Anatel, obteve retorno na terça-feira seguinte, com a seguinte informação: “Você precisa ter um Internet Explorer para se cadastrar nos sistemas de atendimento ao usuário”. No dia 11 de maio, o hacker Marcelo Jorge Vieira, conhecido como Metal, descobriu uma falha de segurança em 16 sites do governo federal. A falha permite alterar a visualização das páginas, ou seja, inserir código no endereço das páginas e criar uma visualização nova, em um novo endereço.
A falha foi encontrada nos sites da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP), do Ministério do Turismo, da Caixa, da Companhia Energética de Brasília, do portal Domínio Público, da Embratur, do Ministério da Fazenda, do Ministério da Cultura, do Ministério do Meio Ambiente, do Ministério de Minas e Energia, do Ministério do Desenvolvimento Agrário, do Ministério da Ciência e Tecnologia, do Portal da Transparência, da Plataforma Lattes, do Sistema Nacional de Informações de Defesa do Consumidor e do Tribunal de Contas da União. Em instituições privadas, encontrou o mesmo erro nos sites do jornal O Estado de S.Paulo, na Agência Carta Maior, no jornal mineiro O Tempo, no Diário de S. Paulo, no portal Terra e no Portal da Rede Minas.
Metal publicou um relato em seu blog com links para as páginas alteradas, e enviou o aviso por e-mail para as assessorias de comunicação de cada uma das instituições. “O que eu quero com esse e-mail?!”, explicou ele. “Reportar essa falha, porque ela poderia ser explorada de várias maneiras: uma pessoa mal-intencionada poderia substituir a página inicial da caixa para “roubar” as contas de alguns clientes; usar o site do Ministério da Cultura para falar mal da ministra; fazer campanha sobre os altos preços dos combustíveis no site da ANP; usar o site do Ministério da Fazenda para falar que não é mais preciso declarar Imposto Renda e publicar todas essas falsas notícias no Estadão, no Diário de São Paulo, no O Tempo, no Terra, na Carta Maior e na Rede Minas”. O que aconteceu? Até o dia 30 de maio, somente cinco dos 22 sites comunicados haviam consertado a falha: a ANP, o Portal do Domínio Público, o Sindec, o Estadão e o Terra.
“A falha que achei, primária, mostra como a construção dos sites governamentais não passa por um processo rigoroso de segurança. São processos muitas vezes terceirizados, e as empresas estão mais preocupadas com o dinheiro e o aspecto do site do que com a base, a segurança e a usabilidade”, explica ele. Metal acredita que uma maneira de resolver isso – e de trazer essa questão para os programas de inclusão digital – seria fazer os sites governamentais com software livre. “Com espaço para o cadastro de bugs e a submissão de correções”, explica.
“Construir sistemas de e-gov com software proprietário e/ou sem plataforma pública de desenvolvimento e rastreamento de modificações (bug tracker) alija a sociedade das escolhas relacionadas a esses sistemas”, diz outro desenvolvedor. “Relega ao cidadão à postura passiva de consumidor de e-gov”. (P.C.)
Veja também:
Com quantos cliques se faz uma democracia?
{jcomments on}
