A Receita Federal e o Google

Recentemente, um grupo independente de analistas da informação descobriu uma falha de segurança no sistema de prestação de informações externas da Receita Federal. Essa falha de segurança literalmente cria uma espécie de “cheque em branco”, no qual a Receita Federal do Brasil acaba disponibilizando os dados de quem e quando está acessando o sistema para o Google. Atenção para o detalhe: esse erro não disponibiliza os dados internos do sistema da Receita Federal, mas sim os dados de quem e quando está acessando o sistema.

Essa falha de segurança está presente em um aplicativo destinado a Pessoas Físicas desenvolvido pela Receita Federal e disponível por meio da Google Play Store, que possibilita que qualquer cidadão brasileiro possa, entre outras funções, consultar a situação de qualquer CPF diretamente de seu banco de dados. Até aqui, tudo bem…

O problema, no entanto, ocorreu após a atualização desse aplicativo para a versão 4.2, no qual percebe-se a existência de uma mudança no modo de funcionamento do programa, que passou a “discretamente” bloquear o acesso às informações daquelas pessoas que não estavam devidamente autenticadas na Google Play Store e, consequentemente, logadas dentro do restante sistema interno do Google.

Essa mudança pode ser verificada no código de requisição abaixo, que em sua quinta linha inclui o GoogleAuth como pre-requisito para a autenticação dos usuários para a consulta de dados no sistema.

Essa alteração, que a princípio teria passado despercebida não fosse a insatisfação (registrada na imagem acima) entre diversos usuários que não sabiam da necessidade dessa autenticação, na verdade oculta uma falha de segurança que acaba por expor os dados de quem está acessando os dados da Receita Federal dentro do sistema Google, que pode então utilizar essas informações do jeito que bem desejar de maneira privada, assim como expondo, como efeito colateral, esses mesmos dados para todos os sistemas de vigilância e espionagem norte-americanos.

Ou seja, o Estado brasileiro está colocando a cargo de uma empresa privada e estrangeira, sem nos informar previamente disso, a responsabilidade por garantir acesso a seus dados públicos por meio de uma chave fornecida por essa mesma empresa, isso mesmo depois de todos os casos de espionagem contra o Governo Brasileiro, incluindo o acesso indevido aos dados de Dilma e seus assessores, que vimos em 2013, assim como restante das revelações relacionadas a Edward Snowden.

Essa medida é muito grave, pois vai diretamente contra o direito à privacidade da cidadã e do cidadão brasileiro que consulta uma informação que é pública, além de expô-lo a uma empresa estrangeira.

É bem verdade que a monitoração de quem e quando está acessando algo já ocorre naturalmente para qualquer pessoa que esteja logada tanto no Google quanto no Facebook. Quando você está logado no Facebook, por exemplo, ele consegue acompanhar não apenas o que você está vendo na sua linha do tempo, mas em todas as outras abas que estão abertas em seu navegador.

Ainda assim, a Receita Federal, que é uma instituição pública, utilizar um filtro do Google como um pré-requisito obrigatório para qualquer pessoa que precisa realizar a verificação dos dados de quem está acessando é praticamente abrir mão de um pouco de nossa soberania em busca de uma facilidade nula. E isso supondo as melhores intenções possíveis de quem foi responsável por essa alteração dentro da Receita Federal. Pois, certamente, nem isso é garantido.

Lembremos também que isso não se deve a nenhuma técnica de proteção de informação sensível, pois estas já são protegidas contra scraping – técnica que poderia vir a ser utilizada para capturar todos os CPFs existentes.

Um dos pontos mais sensíveis da Internet sempre foi a disponibilização de dados por quem os administra. Alguns deles tem caráter pessoal, outros são de natureza sensível e a maioria, se não toda a quase totalidade para o governo, públicos.

Existem dados que precisam ser consultados e que hoje o as instituições públicas dificultam o acesso, como sobre como quem ganhou determinada licitação, quais foram, se esses tem processos na justiça, se os esses possuem parentesco com funcionários da administração pública, ou simplesmente se o CPF informado realmente existe. Porém hoje a necessidade de se realizar isso é em escala, todos os gigabytes precisam ser analisados e as interfaces que nos entregam é, digamos, terrível e isso nos afeta.

Um dos objetivos do Partido Pirata é lutar e defender a a criação de uma Internet para que que (i) a informação seja verdadeiramente livre, (ii) que não esteja submetida não seja submetida sob o controle de nenhuma instituição ou corporação, seja ela pública ou privada.

Já que você está aqui…

… nós estamos pedindo por um pequeno favor. Diferente de outras organizações, não recebemos dinheiro de governos e nem de empresas. Também não cobramos por acessos às nossas ferramentas. O Partido Pirata é uma organização independente que luta por direitos digitais, o livre compartilhamento de informações, privacidade para as pessoas e transparência de governos e corporações. Somos pessoas voluntárias tentando construir dia após dia o partido e precisamos de dinheiro para colocar algumas ideias em prática e cobrir diversos gastos. Isso requer muito trabalho e fazemos pois acreditamos que a nossa perspectiva importa porque –  também pode ser sua perspectiva.


Deixe uma resposta

Notice: Comments reflect the opionions of those who did wrote theme. Allowing people comment here, doenst mean, that we also agree with them.

Your email address won't be displayed. Required fields are marked with this sign: *

More information

Chat Internacional @GlobalPirates

Publicações