Avançar para o conteúdo principal

Queixas eletrónicas da GNR e da PSP enviam dados de vítimas e denunciantes para a Google


Números de IP, pesquisas e navegação na Internet, conjuntos de dados que pretendem apurar a identidade dos internautas para fins comerciais - toda esta informação foi partilhada pelo Portal da Queixa Eletrónica com a Google a partir de um endereço que foi lançado em 2008 e que o Ministério da Administração Interna confirma que vai agora descontinuar

OPortal da Queixa Eletrónica que é disponibilizado pela GNR e pela PSP enviou, durante tempo indeterminado, dados de vítimas e denunciantes para a Google, através de uma ferramenta de análise de tráfego de internautas que tem propósitos comerciais. Esta ferramenta também permite que os sistemas da Google consigam apurar informação relacionada com os casos que motivaram as queixas. Alguns especialistas contactados pela Exame Informática informam ainda que o portal também envia dados de internautas que permitem que a Facebook e o portal IOL.pt identifiquem internautas.

A informação enviada para a ferramenta conhecida por Google Analytics inclui o número do Protocolo de Internet (o número IP, que é atribuído a cada acesso à Net) de quem fez a queixa por via eletrónica, informação da mais recente pesquisa do utilizador e o último site que visitou, bem como as características do computador ou do telemóvel, a data, dados para correlação com o serviço de inserção de publicidade Doubleclick, e até informação que tem por propósito explícito identificar o internauta.

Questionado pela Exame Informática, o Ministério da Administração Interna (MAI) fez saber que o Portal da Queixa Eletrónica, que foi criado em 2008, vai ser descontinuado - e deixará de usar a ferramenta Google Analytics enquanto se mantiver em atividade.

«O portal já foi migrado para HTTPS, protocolo (de encriptação) seguro, por forma a garantir a segurança na transmissão da informação. Não existe qualquer ligação adicional do portal a sistemas de outras entidades externas e não são fornecidos quaisquer dados referentes a queixas efetuadas, sendo completamente garantida a confidencialidade da mesma», reiterou o gabinete do Ministro da Administração Interna Eduardo Cabrita sobre as medidas tomadas para pôr termo à partilha de dados com a Google ou outras entidades.

O denominado Portal do Sistema Queixa Eletrónica foi criado em 2008 no âmbito de uma medida do programa de digitalização e desburocratização que dá pelo nome de Simplex. O MAI não refere por quanto tempo o Portal usou a ferramenta Google Analytics. Os dados são armazenados pela Google Analytics durante seis meses. Os especialistas consultados pela Exame Informática confirmam que há ferramentas que permitem anonimizar esses dados – mas não são usadas pela maioria dos gestores de sites, ou são falíveis, se a Google quiser mesmo contorná-las.

Pedro Fortuna, diretor de Tecnologias da startup Jscrambler, não tem dúvidas de que o Portal da Queixa Eletrónica está em falta com as melhores práticas de proteção de informação considerada “sensível”, quando envereda pela partilha de dados com “terceiros”. Numa breve análise, o especialista na monitorização de cibersegurança de sites e aplicações conclui que o Portal envia conjuntos de dados que podem ser usados para fins comerciais pela Google, além de metadados relativos às sessões de uso, que incluem o número de IP usado pelo dispositivo usado no acesso, bem como a hora exata e «uma série de cookies e dados de outros serviços da Google que permitem à Google saber com precisão de quem se trata».

Pedro Fortuna lembra ainda as estatísticas que referem que a Google, em média, consegue monitorizar 80% dos internautas. «Consegue imaginar a Google a servir um anúncio de segurança privada ao utilizador por saber que este esteve no website da Queixa Eletrónica? E se outras pessoas estiverem por perto e observarem isto a acontecer? A possibilidade de a informação “leakar” (fuga de informação) é real», escreve Pedro Fortuna quando questionado pela Exame Informática.

João Pina, hacktivista e programador com histórico na denúncia de falhas e mentor de projetos como o Fogos.pt, também confirma que o Portal da Queixa Eletrónica partilhou dados que provavelmente nunca deveriam ter sido partilhados com a Google – mas soma ainda mais duas potenciais fugas.

O Portal da Queixa Eletrónica dispõe de uma funcionalidade de disfarce, que permite que o internauta clique num atalho rápido que o encaminha diretamente para o endereço do portal IOL.pt, no caso de uma terceira pessoa se aproximar do denunciante no momento da queixa eletrónica. Segundo João Pina, essa funcionalidade de disfarce permite o envio de dados que poderiam ser usados pelo Iol.pt ou Facebook, para apurar a identidade dos Internautas, se tivessem essa intenção. No caso de o utilizador fazer a queixa com uma sessão de utilizador iniciada no browser, então os dados de identidade são mesmo partilhados – sem ser necessária qualquer pesquisa adicional, garante João Pina.

João Pina responsabiliza o MAI por esta partilha de dados indevida – e diz mesmo que, do ponto de vista técnico, teria sido fácil travar esta fuga de informação. «É um contrassenso. A ideia era criar um portal confidencial, mas esse portal está a enviar dados para entidades privadas e comerciais. Não faz sentido partilhar este tipo de dados. Compreendo o interesse em ter este tipo de métricas, mas era possível usar ferramentas que fazem o mesmo e não enviam dados para a Google ou outras entidades privadas».

A Exame Informática contactou ainda mais dois especialistas em questões de cibersegurança que aceitaram analisar o Portal da Queixa Eletrónica sob anonimato. Ambos confirmam a partilha de dados que podem ser usados para a Google ou outras entidades identificarem vítimas e/ou denunciantes do Portal. «No limite, se uma pessoa usar aquele Portal para apresentar queixa da Google, então a Google terá forma de saber quem é a pessoa que fez essa queixa», refere um dos especialistas contactados pela Exame Informática.

Por escrito e sob anonimato, um especialista em proteção de dados pessoais também confirma que o endereço “chumba” quando submetido a uma simples análise de privacidade: «Pode existir aqui uma recolha de informação excessiva que a Google não precisava de guardar». «A partir daqui e com recurso à correlação de outros cookies (ex: sessão do Gmail, pesquisas google ou noutros serviços que utilizem o Google Analytics), a Google pode inferir o tipo de incidente que a potencial vítima sofreu e identifica-la univocamente. Se fizer uma pesquisa no Google por “queixa violação doméstica” e for para o Portal da Queixa Eletrónica, o Google fica automaticamente a saber durante 6 meses que provavelmente eu fui vítima de algum tipo de abuso», refere o especialista, para depois concluir: «somando a isto o facto de não ter uma notificação dos cookies alinhada com os futuros requisitos da diretiva e-privacy e poder estar a violar algumas regras do Regulamento Geral de Proteção de Dados, diria que o Portal da Queixa Eletrónica está a fornecer um mau serviço público».

Os cookies são componentes de informação que costumam ser obtidos por sites através dos browsers (Chrome, Edge, Firefox, etc.) para facilitarem a navegação dos internautas. No caso do Google Analytics a informação fornecida pode suplantar os próprios cookies, com dados adicionais que nem sempre estão contidos nos cookies mais comuns.

Estes dados recolhidos pela Google Analytics, que são usados para monitorização de tráfego e conhecer tendências e preferências de consumo, são denominados Urchin Tracking Module (UTM). Eventualmente, a denominação dada a estes pedaços de informação foi herdada da aquisição da Urchin Software Corporation pela Google, no passado. A Google junta a cada UTM uma letra que indica a categoria dos dados apurados.

Pedro Fortuna admite que as vulnerabilidades do Portal da Queixa Eletrónica podem não se ficar apenas pela falta de privacidade – e que as próprias páginas deste portal possam estar a necessitar de uma atualização: «Sem ter feito uma análise exaustiva aos componentes utilizados pelo website, foi possível perceber que, pelo menos, alguns componentes nunca foram atualizados. A versão jQuery em uso é a 1.8.3, que foi lançado a 13 de Novembro de 2012. Quase nove anos depois, nunca mais este website teve este componente atualizado. O problema é que este componente tem pelo menos três vulnerabilidades médias/graves que podem permitir em certos cenários que um atacante corra código malicioso no site», exemplifica o especialista da Jscrambler.

Hoje, o Portal da Queixa Eletrónica continua em atividade – mas o MAI admite que o endereço poderá vir a ter os dias contados, apesar de não especificar uma data. «De referir que, em 2019, a IGAI tornou disponível o serviço de Queixa Online que, por vários motivos, acabou por ser criado e disponibilizado fora do atual Portal da Queixa Eletrónica, sendo este um indicador de que o Portal da Queixa Eletrónica, criado em 2008, irá em breve ser descontinuado».

http://exameinformatica.sapo.pt/noticias/internet/2019-09-25-Queixas-eletronicas-da-GNR-e-da-PSP-enviam-dados-de-vitimas-e-denunciantes-para-a-Google

Comentários

Enviar um comentário

Notícias mais vistas:

Esta cidade tem casas à venda por 12.000 euros, procura empreendedores e dá cheques bebé de 1.000 euros. Melhor, fica a duas horas de Portugal

 Herreruela de Oropesa, uma pequena cidade em Espanha, a apenas duas horas de carro da fronteira com Portugal, está à procura de novos moradores para impulsionar sua economia e mercado de trabalho. Com apenas 317 habitantes, a cidade está inscrita no Projeto Holapueblo, uma iniciativa promovida pela Ikea, Redeia e AlmaNatura, que visa incentivar a chegada de novos residentes por meio do empreendedorismo. Para atrair interessados, a autarquia local oferece benefícios como arrendamento acessível, com valores médios entre 200 e 300 euros por mês. Além disso, a aquisição de imóveis na região varia entre 12.000 e 40.000 euros. Novas famílias podem beneficiar de incentivos financeiros, como um cheque bebé de 1.000 euros para cada novo nascimento e um vale-creche que cobre os custos da educação infantil. Além das vantagens para famílias, Herreruela de Oropesa promove incentivos fiscais para novos moradores, incluindo descontos no Imposto Predial e Territorial Urbano (IBI) e benefícios par...
Enviar um comentário
Ler mais

"A NATO morreu porque não há vínculo transatlântico"

 O general Luís Valença Pinto considera que “neste momento a NATO morreu” uma vez que “não há vínculo transatlântico” entre a atual administração norte-americana de Donald Trump e as nações europeias, que devem fazer “um planeamento de Defesa”. “Na minha opinião, neste momento, a menos que as coisas mudem drasticamente, a NATO morreu, porque não há vínculo transatlântico. Como é que há vínculo transatlântico com uma pessoa que diz as coisas que o senhor Trump diz? Que o senhor Vance veio aqui à Europa dizer? O que o secretário da Defesa veio aqui à Europa dizer? Não há”, defendeu o general Valença Pinto. Em declarações à agência Lusa, o antigo chefe do Estado-Maior-General das Forças Armadas, entre 2006 e 2011, considerou que, atualmente, ninguém “pode assumir como tranquilo” que o artigo 5.º do Tratado do Atlântico Norte – que estabelece que um ataque contra um dos países-membros da NATO é um ataque contra todos - “está lá para ser acionado”. Este é um dos dois artigos que o gener...
Enviar um comentário
Ler mais

Armazenamento holográfico

 Esta técnica de armazenamento de alta capacidade pode ser uma das respostas para a crescente produção de dados a nível mundial Quando pensa em hologramas provavelmente associa o conceito a uma forma futurista de comunicação e que irá permitir uma maior proximidade entre pessoas através da internet. Mas o conceito de holograma (que na prática é uma técnica de registo de padrões de interferência de luz) permite que seja explorado noutros segmentos, como o do armazenamento de dados de alta capacidade. A ideia de criar unidades de armazenamento holográficas não é nova – o conceito surgiu na década de 1960 –, mas está a ganhar nova vida graças aos avanços tecnológicos feitos em áreas como os sensores de imagem, lasers e algoritmos de Inteligência Artificial. Como se guardam dados num holograma? Primeiro, a informação que queremos preservar é codificada numa imagem 2D. Depois, é emitido um raio laser que é passado por um divisor, que cria um feixe de referência (no seu estado original) ...
Enviar um comentário
Ler mais