há 6 meses
27
Os dados foram acessados do Infoseg (Informações de Segurança), um sistema integrado de bancos de dados públicos. Lá, é possível acessar processos judiciais, além de informações pessoais, como endereço, telefone de contato, registros de arma e de veículos.
Os registros mostram acesso indiscriminado de alguns usuários a esse sistema. Um usuário de um juiz do TJ-SP fez 4.122 consultas em um dia. Um policial militar de Goiás fez 17.792 consultas em um mês.
A possibilidade de um único login realizar milhares de consultas em um curto espaço de tempo, sem detecção, revela uma cultura de segurança passiva. Isso é inadmissível num contexto de um sistema que lida com informações sensíveis, incluindo dados de figuras públicas
Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética)
Hiago explica que a falta de limite de acesso facilita a realização de webscrapping - a atividade de coletar (ou "raspar", no linguajar técnico) dados de forma automatizada. Desenvolvedores conseguem fazer um "robô" que navega numa página e vai copiando as informações. Um alto número de consultas costuma significar que alguém está coletando dados. "Isso reflete um cenário alarmante de fragilidade, onde medidas básicas de segurança, como limitação de acessos, autenticação multifator e monitoramento em tempo real, parecem ter sido negligenciadas".
Durante lançamento da campanha "Tem cara de golpe", da ABBC (Associação Brasileira de Bancos), o delegado Carlos Afonso Gonçalves, da divisão de crimes cibernéticos do Deic-SP, ressaltou a importância de fazer trabalho de prevenção.
Ainda que citasse empresas (e não órgãos públicos), ele comentou sobre a importância de "escalonar serviços por usuário" e do monitoramento no caso de funcionários que lidam com informações sensíveis. "Tem operador de telemarketing que entrava numa empresa apenas para aprender o 'script' de atendimento para depois levar para uma falsa central telefônica para aplicação de golpes", disse.
English (US) · 
Portuguese (BR) ·