Topo

Por que sites do governo são alvo de tantos vazamentos de dados pessoais?

Órgãos públicos viraram alvos de ataques hackers e vazamentos preocupantes - Markus Spiske/Unsplash
Órgãos públicos viraram alvos de ataques hackers e vazamentos preocupantes Imagem: Markus Spiske/Unsplash

Guilherme Tagiaroli

De Tilt, em São Paulo

27/03/2021 04h00

O governo deveria ter o melhor em segurança digital para proteger os dados da população. É o mínimo que se espera de quem fica responsável por informações sensíveis de milhões de pessoas, certo? Mas não é o que acontece e falhas constantes nas últimas semanas evidenciaram isso. Órgãos públicos viraram alvos de ataques hackers e vazamentos preocupantes. E a explicação é bem pouco surpreendente: burocracia e falta de investimentos. Há pouca esperança de se resolver isso a curto prazo, dizem os especialistas ouvidos por Tilt.

O que rolou?

Além do megavazamento que expôs 220 milhões de brasileiros (incluindo falecidos), foram afetados os sistemas do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) e da secretaria de saúde de Goiás, além de hacker ironizando o site do ministério da Saúde em duas ocasiões. O mesmo ministério já havia sido vítima de um vazamento de senhas em novembro e de exposição de dados de mais de 240 milhões de brasileiros (incluindo falecidos) no mês seguinte.

Por que isso acontece?

Segundo Fabio Ramos, executivo-chefe da empresa antifraudes Axur, os governos brasileiros erram na manutenção da segurança digital de seus serviços, especialmente se comparado ao trabalho de grandes empresas privadas. Os motivos, diz, são o baixo investimento e os problemas de burocracia.

"A velocidade da segurança não é a mesma da burocracia, que torna o processo mais lento e faz com que os governos fiquem para trás", ressalta. Segundo ele, muitas vezes um processo licitatório é tão longo que, quando concluído, a solução ofertada está obsoleta.

Juan Sacco, analista de segurança sênior da Avast, diz que sites governamentais também são mais propensos a ataques do APT (ameaça persistente avançada), quando os hackers usam insistentemente várias técnicas diferentes para entrar em um sistema à força. Geralmente um ataque APT é patrocinado por nações inimigas de um país.

Por que sites do governo?

Órgãos públicos são muito visados em ciberataques por motivos como:

  • Possibilidade de acesso a um vasto banco de dados;
  • Rápida monetização de dados obtidos;
  • Baixo investimento em segurança da informação por parte do governo.

Para Fabio Assolini, analista sênior de segurança da Kaspersky, sites de governo não são necessariamente os mais visados pelos cibercriminosos. Por tratarem de dados públicos, acabam recebendo mais atenção midiática que invasões a servidores de empresas. "Mas ambos podem ser críticos e trazer prejuízos para quem tem seus dados vazados", complementa.

Quais as falhas que levam a vazamentos do tipo?

A ONG Open Web Application Security Project, que reúne profissionais de segurança web, tem uma lista com as dez principais vulnerabilidades dos sistemas, mas estas três são as falhas mais comuns em sites:

  • Quebra de autenticação - o atacante consegue entrar no perfil de um usuário por exemplo usando senha óbvia. Uma pessoa mal-intencionada pode assumir a identidade de uma pessoa autorizada a acessar esse sistema.
  • Exposição de dados sensíveis - o invasor usa uma brecha na API (sigla em inglês para Interface de Programação de Aplicações, que dá acesso à parte de um serviço na internet) para acessar informações financeiras, de saúde ou de identificação pessoal de usuários.
  • Configurações incorretas de segurança - é um dos erros mais comuns: bancos de dados ficam abertos em algum servidor na nuvem, sem camada adicional e correta de proteção.

Por que hackers querem nossos dados de sites do governo?

Porque dados rendem muito dinheiro, e estes sites normalmente têm um volume de informação muito maior do que empresas. Há na dark web um grande mercado estabelecido de venda de dados pessoais. É possível comprar dados de RGs por apenas US$ 0,50 (R$ 2,87, na cotação atual).

O que hackers fazem com nossos dados?

Os dados podem facilitar uma série de golpes. O criminoso usa seu RG para se inscrever em algum serviço e fazer compras em seu nome. Ou usa sua CNH para clonar seu veículo ou falsificar sua carteira de motorista. Ou consegue convencer o banco a refazer acesso à sua conta corrente. Os perigos são muitos.

O que dizem os órgãos e governos?

Em uma extensa nota enviada a Tilt, o GSI (Gabinete de Segurança Institucional) não respondeu diretamente sobre os problemas recentes, mas citou duas iniciativas para reduzir ataques.

Ao blog da Carla Araújo no ano passado, o órgão citou ainda esforços de aumento de investimento para troca de servidores antigos e a tentativa de fazer com que segurança digital seja ensinada nas escolas.

Outro órgão ligado à segurança é a Secretaria de Governo Digital, do Ministério da Economia, que é responsável por apoiar órgãos federais na proteção de dados. Em nota, eles dizem ter criado um sistema de controle de riscos e guias para servidores públicos com orientações sobre a segurança e controle de dados de cidadãos.

Em nota, o Procempa (a Companhia de Processamento de Dados de Porto Alegre) diz que não houve vazamento de informações no site do Detran-RS e que corrigiu assim que foi notificado por Tilt no fim de fevereiro.

O que fazer se for afetado?

As empresas ou órgãos responsáveis pela falha devem notificar a ANPD (Autoridade Nacional de Proteção de Dados), mas o órgão é recente e, por enquanto, por decisão do governo, só pode impor multas ou sanções a partir de agosto deste ano.

Até lá, outros órgãos podem agir a favor das vítimas, como a Fundação Procon, o Ministério Público Federal, a Senacon (Secretaria Nacional do Consumidor) e Idec (Instituto Brasileiro de Defesa do Consumidor). Então, procure uma (ou todas) dessas entidades.

Redobre também os cuidados com suas contas de redes sociais, lojas online, bancos e outros: troque suas senhas para outras mais fortes (com várias letras, números e caracteres especiais), evite clicar em links suspeitos, não forneça seus dados a qualquer um e ative senhas extras em seus apps.