Avançar para o conteúdo principal

Queixas eletrónicas da GNR e da PSP enviam dados de vítimas e denunciantes para a Google


Números de IP, pesquisas e navegação na Internet, conjuntos de dados que pretendem apurar a identidade dos internautas para fins comerciais - toda esta informação foi partilhada pelo Portal da Queixa Eletrónica com a Google a partir de um endereço que foi lançado em 2008 e que o Ministério da Administração Interna confirma que vai agora descontinuar

OPortal da Queixa Eletrónica que é disponibilizado pela GNR e pela PSP enviou, durante tempo indeterminado, dados de vítimas e denunciantes para a Google, através de uma ferramenta de análise de tráfego de internautas que tem propósitos comerciais. Esta ferramenta também permite que os sistemas da Google consigam apurar informação relacionada com os casos que motivaram as queixas. Alguns especialistas contactados pela Exame Informática informam ainda que o portal também envia dados de internautas que permitem que a Facebook e o portal IOL.pt identifiquem internautas.

A informação enviada para a ferramenta conhecida por Google Analytics inclui o número do Protocolo de Internet (o número IP, que é atribuído a cada acesso à Net) de quem fez a queixa por via eletrónica, informação da mais recente pesquisa do utilizador e o último site que visitou, bem como as características do computador ou do telemóvel, a data, dados para correlação com o serviço de inserção de publicidade Doubleclick, e até informação que tem por propósito explícito identificar o internauta.

Questionado pela Exame Informática, o Ministério da Administração Interna (MAI) fez saber que o Portal da Queixa Eletrónica, que foi criado em 2008, vai ser descontinuado - e deixará de usar a ferramenta Google Analytics enquanto se mantiver em atividade.

«O portal já foi migrado para HTTPS, protocolo (de encriptação) seguro, por forma a garantir a segurança na transmissão da informação. Não existe qualquer ligação adicional do portal a sistemas de outras entidades externas e não são fornecidos quaisquer dados referentes a queixas efetuadas, sendo completamente garantida a confidencialidade da mesma», reiterou o gabinete do Ministro da Administração Interna Eduardo Cabrita sobre as medidas tomadas para pôr termo à partilha de dados com a Google ou outras entidades.

O denominado Portal do Sistema Queixa Eletrónica foi criado em 2008 no âmbito de uma medida do programa de digitalização e desburocratização que dá pelo nome de Simplex. O MAI não refere por quanto tempo o Portal usou a ferramenta Google Analytics. Os dados são armazenados pela Google Analytics durante seis meses. Os especialistas consultados pela Exame Informática confirmam que há ferramentas que permitem anonimizar esses dados – mas não são usadas pela maioria dos gestores de sites, ou são falíveis, se a Google quiser mesmo contorná-las.

Pedro Fortuna, diretor de Tecnologias da startup Jscrambler, não tem dúvidas de que o Portal da Queixa Eletrónica está em falta com as melhores práticas de proteção de informação considerada “sensível”, quando envereda pela partilha de dados com “terceiros”. Numa breve análise, o especialista na monitorização de cibersegurança de sites e aplicações conclui que o Portal envia conjuntos de dados que podem ser usados para fins comerciais pela Google, além de metadados relativos às sessões de uso, que incluem o número de IP usado pelo dispositivo usado no acesso, bem como a hora exata e «uma série de cookies e dados de outros serviços da Google que permitem à Google saber com precisão de quem se trata».

Pedro Fortuna lembra ainda as estatísticas que referem que a Google, em média, consegue monitorizar 80% dos internautas. «Consegue imaginar a Google a servir um anúncio de segurança privada ao utilizador por saber que este esteve no website da Queixa Eletrónica? E se outras pessoas estiverem por perto e observarem isto a acontecer? A possibilidade de a informação “leakar” (fuga de informação) é real», escreve Pedro Fortuna quando questionado pela Exame Informática.

João Pina, hacktivista e programador com histórico na denúncia de falhas e mentor de projetos como o Fogos.pt, também confirma que o Portal da Queixa Eletrónica partilhou dados que provavelmente nunca deveriam ter sido partilhados com a Google – mas soma ainda mais duas potenciais fugas.

O Portal da Queixa Eletrónica dispõe de uma funcionalidade de disfarce, que permite que o internauta clique num atalho rápido que o encaminha diretamente para o endereço do portal IOL.pt, no caso de uma terceira pessoa se aproximar do denunciante no momento da queixa eletrónica. Segundo João Pina, essa funcionalidade de disfarce permite o envio de dados que poderiam ser usados pelo Iol.pt ou Facebook, para apurar a identidade dos Internautas, se tivessem essa intenção. No caso de o utilizador fazer a queixa com uma sessão de utilizador iniciada no browser, então os dados de identidade são mesmo partilhados – sem ser necessária qualquer pesquisa adicional, garante João Pina.

João Pina responsabiliza o MAI por esta partilha de dados indevida – e diz mesmo que, do ponto de vista técnico, teria sido fácil travar esta fuga de informação. «É um contrassenso. A ideia era criar um portal confidencial, mas esse portal está a enviar dados para entidades privadas e comerciais. Não faz sentido partilhar este tipo de dados. Compreendo o interesse em ter este tipo de métricas, mas era possível usar ferramentas que fazem o mesmo e não enviam dados para a Google ou outras entidades privadas».

A Exame Informática contactou ainda mais dois especialistas em questões de cibersegurança que aceitaram analisar o Portal da Queixa Eletrónica sob anonimato. Ambos confirmam a partilha de dados que podem ser usados para a Google ou outras entidades identificarem vítimas e/ou denunciantes do Portal. «No limite, se uma pessoa usar aquele Portal para apresentar queixa da Google, então a Google terá forma de saber quem é a pessoa que fez essa queixa», refere um dos especialistas contactados pela Exame Informática.

Por escrito e sob anonimato, um especialista em proteção de dados pessoais também confirma que o endereço “chumba” quando submetido a uma simples análise de privacidade: «Pode existir aqui uma recolha de informação excessiva que a Google não precisava de guardar». «A partir daqui e com recurso à correlação de outros cookies (ex: sessão do Gmail, pesquisas google ou noutros serviços que utilizem o Google Analytics), a Google pode inferir o tipo de incidente que a potencial vítima sofreu e identifica-la univocamente. Se fizer uma pesquisa no Google por “queixa violação doméstica” e for para o Portal da Queixa Eletrónica, o Google fica automaticamente a saber durante 6 meses que provavelmente eu fui vítima de algum tipo de abuso», refere o especialista, para depois concluir: «somando a isto o facto de não ter uma notificação dos cookies alinhada com os futuros requisitos da diretiva e-privacy e poder estar a violar algumas regras do Regulamento Geral de Proteção de Dados, diria que o Portal da Queixa Eletrónica está a fornecer um mau serviço público».

Os cookies são componentes de informação que costumam ser obtidos por sites através dos browsers (Chrome, Edge, Firefox, etc.) para facilitarem a navegação dos internautas. No caso do Google Analytics a informação fornecida pode suplantar os próprios cookies, com dados adicionais que nem sempre estão contidos nos cookies mais comuns.

Estes dados recolhidos pela Google Analytics, que são usados para monitorização de tráfego e conhecer tendências e preferências de consumo, são denominados Urchin Tracking Module (UTM). Eventualmente, a denominação dada a estes pedaços de informação foi herdada da aquisição da Urchin Software Corporation pela Google, no passado. A Google junta a cada UTM uma letra que indica a categoria dos dados apurados.

Pedro Fortuna admite que as vulnerabilidades do Portal da Queixa Eletrónica podem não se ficar apenas pela falta de privacidade – e que as próprias páginas deste portal possam estar a necessitar de uma atualização: «Sem ter feito uma análise exaustiva aos componentes utilizados pelo website, foi possível perceber que, pelo menos, alguns componentes nunca foram atualizados. A versão jQuery em uso é a 1.8.3, que foi lançado a 13 de Novembro de 2012. Quase nove anos depois, nunca mais este website teve este componente atualizado. O problema é que este componente tem pelo menos três vulnerabilidades médias/graves que podem permitir em certos cenários que um atacante corra código malicioso no site», exemplifica o especialista da Jscrambler.

Hoje, o Portal da Queixa Eletrónica continua em atividade – mas o MAI admite que o endereço poderá vir a ter os dias contados, apesar de não especificar uma data. «De referir que, em 2019, a IGAI tornou disponível o serviço de Queixa Online que, por vários motivos, acabou por ser criado e disponibilizado fora do atual Portal da Queixa Eletrónica, sendo este um indicador de que o Portal da Queixa Eletrónica, criado em 2008, irá em breve ser descontinuado».

http://exameinformatica.sapo.pt/noticias/internet/2019-09-25-Queixas-eletronicas-da-GNR-e-da-PSP-enviam-dados-de-vitimas-e-denunciantes-para-a-Google

Comentários

Enviar um comentário

Notícias mais vistas:

Governo aumenta para 600 euros o rendimento mínimo dos idosos a partir de junho

Luís Montenegro ladeado por Ana Paula Martins, ministra da Saúde, e Maria do Rosário Palma Ramalho, ministra do Trabalho, Solidariedade e Segurança Social, e  Referencial do CSI sobe para 600 euros e os rendimentos dos filhos deixam de ser contabilizados como critério e fator de exclusão na atribuição do complemento. O Governo decidiu aumentar em 50 euros o complemento solidário para idosos (CSI), a partir de junho, passando o referencial dos atuais 550,67 euros para 600 euros, foi esta quinta-feira anunciado. Cerca de 145 mil idosos vão beneficiar da medida. Em sede de conselho de ministros, o executivo de Luís Montenegro "aprovou decretos-lei que adotam três medidas fundamentais para aumentar os rendimentos disponíveis dos pensionistas mais vulneráveis, que são ou passam a ser elegíveis para beneficiar do CSI e cujo universo atual é de cerca de 145 mil pessoas". Desta forma, decidiu-se dar início ao "processo gradual de garantia de rendimento mínimo dos pensionistas de
Enviar um comentário
Ler mais

As principais medidas do Governo para resolver a crise da habitação

 O ministro das Infraestruturas e Habitação, Miguel Pinto Luz, apresentou hoje, no Porto, um pacote de 30 medidas para a habitação, algumas das quais revertem decisões do programa Mais Habitação do anterior governo. Conheça as principais intenções do Executivo, de acordo com o documento distribuído aos jornalistas. Disponibilizar imóveis públicos para habitação com renda/preço acessível; Alterar a Lei dos Solos para permitir o uso de solos rústicos para  habitação a custos controlados, arrendamento acessível, alojamento temporário, no âmbito e para casas destinadas a trabalhadores (professores, forças de segurança, trabalhadores agrícolas, industriais e turismo); Estado garante crédito para construção de cooperativas com entrega de terreno público; Redução de IVA para a taxa mínima de 6% para as obras de reabilitação e construção de habitação, com limites em função dos preços; Desbloquear processos de 25 mil casas do PRR com adoção de termo de responsabilidade das câmaras municipais; F
Enviar um comentário
Ler mais

Por que você não deve encher tanque até a boca nem rodar sempre na reserva

 Abastecer o carro enchendo o tanque até quase transbordar é uma prática não recomendada por especialistas; rodar na reserva também Além disso, ao encontrar preços atraentes, muitos tratam de encher o tanque. Saiba que abastecê-lo até quase transbordar ou rodar constantemente na reserva são hábitos que não fazem bem à saúde do carro - além disso, também contribuem para aumentar o consumo. "Encher o tanque até o bocal danifica o cânister, que é o filtro com carvão ativado responsável por reter os gases provenientes da evaporação do combustível. Esse filtro, geralmente localizado próximo ao tanque, é encharcado, perdendo toda sua eficiência", alerta Everton Lopes, da SAE Brasil. De acordo com o engenheiro, os vapores que emanam do tanque são altamente tóxicos e poluentes - daí a importância de manter o cânister em bom estado. A orientação do especialista é parar o abastecimento assim que gatilho for desarmado - o que proporciona nível adequado e seguro. Mais peso, menos eficiên
Enviar um comentário
Ler mais