Recentemente, um grupo independente de analistas da informação descobriu uma falha de segurança no sistema de prestação de informações externas da Receita Federal. Essa falha de segurança literalmente cria uma espécie de “cheque em branco”, no qual a Receita Federal do Brasil acaba disponibilizando os dados de quem e quando está acessando o sistema para o Google. Atenção para o detalhe: esse erro não disponibiliza os dados internos do sistema da Receita Federal, mas sim os dados de quem e quando está acessando o sistema.

Essa falha de segurança está presente em um aplicativo destinado a Pessoas Físicas desenvolvido pela Receita Federal e disponível por meio da Google Play Store, que possibilita que qualquer cidadão brasileiro possa, entre outras funções, consultar a situação de qualquer CPF diretamente de seu banco de dados. Até aqui, tudo bem…

O problema, no entanto, ocorreu após a atualização desse aplicativo para a versão 4.2, no qual percebe-se a existência de uma mudança no modo de funcionamento do programa, que passou a “discretamente” bloquear o acesso às informações daquelas pessoas que não estavam devidamente autenticadas na Google Play Store e, consequentemente, logadas dentro do restante sistema interno do Google.

Essa mudança pode ser verificada no código de requisição abaixo, que em sua quinta linha inclui o GoogleAuth como pre-requisito para a autenticação dos usuários para a consulta de dados no sistema.

Essa alteração, que a princípio teria passado despercebida não fosse a insatisfação (registrada na imagem acima) entre diversos usuários que não sabiam da necessidade dessa autenticação, na verdade oculta uma falha de segurança que acaba por expor os dados de quem está acessando os dados da Receita Federal dentro do sistema Google, que pode então utilizar essas informações do jeito que bem desejar de maneira privada, assim como expondo, como efeito colateral, esses mesmos dados para todos os sistemas de vigilância e espionagem norte-americanos.

Ou seja, o Estado brasileiro está colocando a cargo de uma empresa privada e estrangeira, sem nos informar previamente disso, a responsabilidade por garantir acesso a seus dados públicos por meio de uma chave fornecida por essa mesma empresa, isso mesmo depois de todos os casos de espionagem contra o Governo Brasileiro, incluindo o acesso indevido aos dados de Dilma e seus assessores, que vimos em 2013, assim como restante das revelações relacionadas a Edward Snowden.

Essa medida é muito grave, pois vai diretamente contra o direito à privacidade da cidadã e do cidadão brasileiro que consulta uma informação que é pública, além de expô-lo a uma empresa estrangeira.

É bem verdade que a monitoração de quem e quando está acessando algo já ocorre naturalmente para qualquer pessoa que esteja logada tanto no Google quanto no Facebook. Quando você está logado no Facebook, por exemplo, ele consegue acompanhar não apenas o que você está vendo na sua linha do tempo, mas em todas as outras abas que estão abertas em seu navegador.

Ainda assim, a Receita Federal, que é uma instituição pública, utilizar um filtro do Google como um pré-requisito obrigatório para qualquer pessoa que precisa realizar a verificação dos dados de quem está acessando é praticamente abrir mão de um pouco de nossa soberania em busca de uma facilidade nula. E isso supondo as melhores intenções possíveis de quem foi responsável por essa alteração dentro da Receita Federal. Pois, certamente, nem isso é garantido.

Lembremos também que isso não se deve a nenhuma técnica de proteção de informação sensível, pois estas já são protegidas contra scraping – técnica que poderia vir a ser utilizada para capturar todos os CPFs existentes.

Um dos pontos mais sensíveis da Internet sempre foi a disponibilização de dados por quem os administra. Alguns deles tem caráter pessoal, outros são de natureza sensível e a maioria, se não toda a quase totalidade para o governo, públicos.

Existem dados que precisam ser consultados e que hoje o as instituições públicas dificultam o acesso, como sobre como quem ganhou determinada licitação, quais foram, se esses tem processos na justiça, se os esses possuem parentesco com funcionários da administração pública, ou simplesmente se o CPF informado realmente existe. Porém hoje a necessidade de se realizar isso é em escala, todos os gigabytes precisam ser analisados e as interfaces que nos entregam é, digamos, terrível e isso nos afeta.

Um dos objetivos do Partido Pirata é lutar e defender a a criação de uma Internet para que que (i) a informação seja verdadeiramente livre, (ii) que não esteja submetida não seja submetida sob o controle de nenhuma instituição ou corporação, seja ela pública ou privada.