Avançar para o conteúdo principal

Queixas eletrónicas da GNR e da PSP enviam dados de vítimas e denunciantes para a Google


Números de IP, pesquisas e navegação na Internet, conjuntos de dados que pretendem apurar a identidade dos internautas para fins comerciais - toda esta informação foi partilhada pelo Portal da Queixa Eletrónica com a Google a partir de um endereço que foi lançado em 2008 e que o Ministério da Administração Interna confirma que vai agora descontinuar

OPortal da Queixa Eletrónica que é disponibilizado pela GNR e pela PSP enviou, durante tempo indeterminado, dados de vítimas e denunciantes para a Google, através de uma ferramenta de análise de tráfego de internautas que tem propósitos comerciais. Esta ferramenta também permite que os sistemas da Google consigam apurar informação relacionada com os casos que motivaram as queixas. Alguns especialistas contactados pela Exame Informática informam ainda que o portal também envia dados de internautas que permitem que a Facebook e o portal IOL.pt identifiquem internautas.

A informação enviada para a ferramenta conhecida por Google Analytics inclui o número do Protocolo de Internet (o número IP, que é atribuído a cada acesso à Net) de quem fez a queixa por via eletrónica, informação da mais recente pesquisa do utilizador e o último site que visitou, bem como as características do computador ou do telemóvel, a data, dados para correlação com o serviço de inserção de publicidade Doubleclick, e até informação que tem por propósito explícito identificar o internauta.

Questionado pela Exame Informática, o Ministério da Administração Interna (MAI) fez saber que o Portal da Queixa Eletrónica, que foi criado em 2008, vai ser descontinuado - e deixará de usar a ferramenta Google Analytics enquanto se mantiver em atividade.

«O portal já foi migrado para HTTPS, protocolo (de encriptação) seguro, por forma a garantir a segurança na transmissão da informação. Não existe qualquer ligação adicional do portal a sistemas de outras entidades externas e não são fornecidos quaisquer dados referentes a queixas efetuadas, sendo completamente garantida a confidencialidade da mesma», reiterou o gabinete do Ministro da Administração Interna Eduardo Cabrita sobre as medidas tomadas para pôr termo à partilha de dados com a Google ou outras entidades.

O denominado Portal do Sistema Queixa Eletrónica foi criado em 2008 no âmbito de uma medida do programa de digitalização e desburocratização que dá pelo nome de Simplex. O MAI não refere por quanto tempo o Portal usou a ferramenta Google Analytics. Os dados são armazenados pela Google Analytics durante seis meses. Os especialistas consultados pela Exame Informática confirmam que há ferramentas que permitem anonimizar esses dados – mas não são usadas pela maioria dos gestores de sites, ou são falíveis, se a Google quiser mesmo contorná-las.

Pedro Fortuna, diretor de Tecnologias da startup Jscrambler, não tem dúvidas de que o Portal da Queixa Eletrónica está em falta com as melhores práticas de proteção de informação considerada “sensível”, quando envereda pela partilha de dados com “terceiros”. Numa breve análise, o especialista na monitorização de cibersegurança de sites e aplicações conclui que o Portal envia conjuntos de dados que podem ser usados para fins comerciais pela Google, além de metadados relativos às sessões de uso, que incluem o número de IP usado pelo dispositivo usado no acesso, bem como a hora exata e «uma série de cookies e dados de outros serviços da Google que permitem à Google saber com precisão de quem se trata».

Pedro Fortuna lembra ainda as estatísticas que referem que a Google, em média, consegue monitorizar 80% dos internautas. «Consegue imaginar a Google a servir um anúncio de segurança privada ao utilizador por saber que este esteve no website da Queixa Eletrónica? E se outras pessoas estiverem por perto e observarem isto a acontecer? A possibilidade de a informação “leakar” (fuga de informação) é real», escreve Pedro Fortuna quando questionado pela Exame Informática.

João Pina, hacktivista e programador com histórico na denúncia de falhas e mentor de projetos como o Fogos.pt, também confirma que o Portal da Queixa Eletrónica partilhou dados que provavelmente nunca deveriam ter sido partilhados com a Google – mas soma ainda mais duas potenciais fugas.

O Portal da Queixa Eletrónica dispõe de uma funcionalidade de disfarce, que permite que o internauta clique num atalho rápido que o encaminha diretamente para o endereço do portal IOL.pt, no caso de uma terceira pessoa se aproximar do denunciante no momento da queixa eletrónica. Segundo João Pina, essa funcionalidade de disfarce permite o envio de dados que poderiam ser usados pelo Iol.pt ou Facebook, para apurar a identidade dos Internautas, se tivessem essa intenção. No caso de o utilizador fazer a queixa com uma sessão de utilizador iniciada no browser, então os dados de identidade são mesmo partilhados – sem ser necessária qualquer pesquisa adicional, garante João Pina.

João Pina responsabiliza o MAI por esta partilha de dados indevida – e diz mesmo que, do ponto de vista técnico, teria sido fácil travar esta fuga de informação. «É um contrassenso. A ideia era criar um portal confidencial, mas esse portal está a enviar dados para entidades privadas e comerciais. Não faz sentido partilhar este tipo de dados. Compreendo o interesse em ter este tipo de métricas, mas era possível usar ferramentas que fazem o mesmo e não enviam dados para a Google ou outras entidades privadas».

A Exame Informática contactou ainda mais dois especialistas em questões de cibersegurança que aceitaram analisar o Portal da Queixa Eletrónica sob anonimato. Ambos confirmam a partilha de dados que podem ser usados para a Google ou outras entidades identificarem vítimas e/ou denunciantes do Portal. «No limite, se uma pessoa usar aquele Portal para apresentar queixa da Google, então a Google terá forma de saber quem é a pessoa que fez essa queixa», refere um dos especialistas contactados pela Exame Informática.

Por escrito e sob anonimato, um especialista em proteção de dados pessoais também confirma que o endereço “chumba” quando submetido a uma simples análise de privacidade: «Pode existir aqui uma recolha de informação excessiva que a Google não precisava de guardar». «A partir daqui e com recurso à correlação de outros cookies (ex: sessão do Gmail, pesquisas google ou noutros serviços que utilizem o Google Analytics), a Google pode inferir o tipo de incidente que a potencial vítima sofreu e identifica-la univocamente. Se fizer uma pesquisa no Google por “queixa violação doméstica” e for para o Portal da Queixa Eletrónica, o Google fica automaticamente a saber durante 6 meses que provavelmente eu fui vítima de algum tipo de abuso», refere o especialista, para depois concluir: «somando a isto o facto de não ter uma notificação dos cookies alinhada com os futuros requisitos da diretiva e-privacy e poder estar a violar algumas regras do Regulamento Geral de Proteção de Dados, diria que o Portal da Queixa Eletrónica está a fornecer um mau serviço público».

Os cookies são componentes de informação que costumam ser obtidos por sites através dos browsers (Chrome, Edge, Firefox, etc.) para facilitarem a navegação dos internautas. No caso do Google Analytics a informação fornecida pode suplantar os próprios cookies, com dados adicionais que nem sempre estão contidos nos cookies mais comuns.

Estes dados recolhidos pela Google Analytics, que são usados para monitorização de tráfego e conhecer tendências e preferências de consumo, são denominados Urchin Tracking Module (UTM). Eventualmente, a denominação dada a estes pedaços de informação foi herdada da aquisição da Urchin Software Corporation pela Google, no passado. A Google junta a cada UTM uma letra que indica a categoria dos dados apurados.

Pedro Fortuna admite que as vulnerabilidades do Portal da Queixa Eletrónica podem não se ficar apenas pela falta de privacidade – e que as próprias páginas deste portal possam estar a necessitar de uma atualização: «Sem ter feito uma análise exaustiva aos componentes utilizados pelo website, foi possível perceber que, pelo menos, alguns componentes nunca foram atualizados. A versão jQuery em uso é a 1.8.3, que foi lançado a 13 de Novembro de 2012. Quase nove anos depois, nunca mais este website teve este componente atualizado. O problema é que este componente tem pelo menos três vulnerabilidades médias/graves que podem permitir em certos cenários que um atacante corra código malicioso no site», exemplifica o especialista da Jscrambler.

Hoje, o Portal da Queixa Eletrónica continua em atividade – mas o MAI admite que o endereço poderá vir a ter os dias contados, apesar de não especificar uma data. «De referir que, em 2019, a IGAI tornou disponível o serviço de Queixa Online que, por vários motivos, acabou por ser criado e disponibilizado fora do atual Portal da Queixa Eletrónica, sendo este um indicador de que o Portal da Queixa Eletrónica, criado em 2008, irá em breve ser descontinuado».

http://exameinformatica.sapo.pt/noticias/internet/2019-09-25-Queixas-eletronicas-da-GNR-e-da-PSP-enviam-dados-de-vitimas-e-denunciantes-para-a-Google

Comentários

Enviar um comentário

Notícias mais vistas:

"Assinatura" típica do Kremlin: desta vez foi pior e a Rússia até atacou instalações da UE

Falamos de "um dos maiores ataques combinados" contra a Ucrânia, que também atingiu representações de países da NATO Kiev foi novamente bombardeada durante a noite. Foi o segundo maior ataque aéreo da Rússia desde a invasão total à Ucrânia. Morreram pelo menos 21 pessoas, incluindo quatro crianças, de acordo com as autoridades. Os edifícios da União Europeia e do British Council na cidade foram atingidos pelos ataques, o que levou a UE e o Reino Unido a convocarem os principais diplomatas russos. Entre os mortos encontram-se crianças de 2, 17 e 14 anos, segundo o chefe da Administração Militar da cidade de Kiev. A força aérea ucraniana afirmou que o Kremlin lançou 629 armas de ataque aéreo contra o país durante a noite, incluindo 598 drones e 31 mísseis. Yuriy Ihnat, chefe de comunicações da Força Aérea, disse à CNN que os foi “um dos maiores ataques combinados” contra o país. O ministério da Defesa da Rússia declarou que atacou “empresas do complexo militar-industrial e base...
2 comentários
Ler mais

Avião onde viajava Von der Leyen afetado por interferência de GPS da Rússia

 O GPS do avião onde viajava a presidente da Comissão Europeia, Ursula von der Leyen, foi afetado por uma interferência que as autoridades suspeitam ser de origem russa, no domingo, forçando uma aterragem com mapas analógicos. Não é claro se o avião seria o alvo deliberado. A aeronave aterrou em segurança no Aeroporto Internacional de Plovdiv, no sul da Bulgária, sem ter de alterar a rota. "Podemos de facto confirmar que houve bloqueio do GPS", disse a porta-voz da Comissão Europeia, Arianna Podesta, numa conferência de imprensa em Bruxelas. "Recebemos informações das autoridades búlgaras de que suspeitam que se deveu a uma interferência flagrante da Rússia". A região tem sofrido muitas destas atividades, afirmou o executivo comunitário, acrescentando que sancionou várias empresas que se acredita estarem envolvidas. O governo búlgaro confirmou o incidente. "Durante o voo que transportava a presidente da Comissão Europeia, Ursula von der Leyen, para Plovdiv, o s...
Enviar um comentário
Ler mais

Como uma entrevista matou João Rendeiro

João Rendeiro, após ser acusado de irregularidades no banco que fundou e presidia, o BPP, fugiu, não para um país que não tivesse acordo de extradição com Portugal mas para África do Sul onde tinha negócios. Acreditando na privacidade concedida por uma VPN, deu uma entrevista à CNN Portugal (TVI), via VPN. A partir dessa entrevista as autoridades portuguesas identificaram a localização de João Rendeiro que nunca acreditou que as autoridades sul-africanas o prendessem pois considerava as acusações infundadas e não graves ao ponto de dar prisão. No entanto João Rendeiro foi preso e, não acreditando na justiça portuguesa, recusou a extradição para Portugal acreditando que seria libertado, o tempo foi passando e ele teve de viver numa das piores prisões do mundo acabando por ter uma depressão que o levou ao suicídio. Portanto, acreditando no anonimato duma VPN, deu uma entrevista que o levou à morte. Este foi o meu comentário, agora o artigo da Leak: A falsa proteção da VPN: IPTV pode pôr-...
Enviar um comentário
Ler mais