Avançar para o conteúdo principal

Queixas eletrónicas da GNR e da PSP enviam dados de vítimas e denunciantes para a Google


Números de IP, pesquisas e navegação na Internet, conjuntos de dados que pretendem apurar a identidade dos internautas para fins comerciais - toda esta informação foi partilhada pelo Portal da Queixa Eletrónica com a Google a partir de um endereço que foi lançado em 2008 e que o Ministério da Administração Interna confirma que vai agora descontinuar

OPortal da Queixa Eletrónica que é disponibilizado pela GNR e pela PSP enviou, durante tempo indeterminado, dados de vítimas e denunciantes para a Google, através de uma ferramenta de análise de tráfego de internautas que tem propósitos comerciais. Esta ferramenta também permite que os sistemas da Google consigam apurar informação relacionada com os casos que motivaram as queixas. Alguns especialistas contactados pela Exame Informática informam ainda que o portal também envia dados de internautas que permitem que a Facebook e o portal IOL.pt identifiquem internautas.

A informação enviada para a ferramenta conhecida por Google Analytics inclui o número do Protocolo de Internet (o número IP, que é atribuído a cada acesso à Net) de quem fez a queixa por via eletrónica, informação da mais recente pesquisa do utilizador e o último site que visitou, bem como as características do computador ou do telemóvel, a data, dados para correlação com o serviço de inserção de publicidade Doubleclick, e até informação que tem por propósito explícito identificar o internauta.

Questionado pela Exame Informática, o Ministério da Administração Interna (MAI) fez saber que o Portal da Queixa Eletrónica, que foi criado em 2008, vai ser descontinuado - e deixará de usar a ferramenta Google Analytics enquanto se mantiver em atividade.

«O portal já foi migrado para HTTPS, protocolo (de encriptação) seguro, por forma a garantir a segurança na transmissão da informação. Não existe qualquer ligação adicional do portal a sistemas de outras entidades externas e não são fornecidos quaisquer dados referentes a queixas efetuadas, sendo completamente garantida a confidencialidade da mesma», reiterou o gabinete do Ministro da Administração Interna Eduardo Cabrita sobre as medidas tomadas para pôr termo à partilha de dados com a Google ou outras entidades.

O denominado Portal do Sistema Queixa Eletrónica foi criado em 2008 no âmbito de uma medida do programa de digitalização e desburocratização que dá pelo nome de Simplex. O MAI não refere por quanto tempo o Portal usou a ferramenta Google Analytics. Os dados são armazenados pela Google Analytics durante seis meses. Os especialistas consultados pela Exame Informática confirmam que há ferramentas que permitem anonimizar esses dados – mas não são usadas pela maioria dos gestores de sites, ou são falíveis, se a Google quiser mesmo contorná-las.

Pedro Fortuna, diretor de Tecnologias da startup Jscrambler, não tem dúvidas de que o Portal da Queixa Eletrónica está em falta com as melhores práticas de proteção de informação considerada “sensível”, quando envereda pela partilha de dados com “terceiros”. Numa breve análise, o especialista na monitorização de cibersegurança de sites e aplicações conclui que o Portal envia conjuntos de dados que podem ser usados para fins comerciais pela Google, além de metadados relativos às sessões de uso, que incluem o número de IP usado pelo dispositivo usado no acesso, bem como a hora exata e «uma série de cookies e dados de outros serviços da Google que permitem à Google saber com precisão de quem se trata».

Pedro Fortuna lembra ainda as estatísticas que referem que a Google, em média, consegue monitorizar 80% dos internautas. «Consegue imaginar a Google a servir um anúncio de segurança privada ao utilizador por saber que este esteve no website da Queixa Eletrónica? E se outras pessoas estiverem por perto e observarem isto a acontecer? A possibilidade de a informação “leakar” (fuga de informação) é real», escreve Pedro Fortuna quando questionado pela Exame Informática.

João Pina, hacktivista e programador com histórico na denúncia de falhas e mentor de projetos como o Fogos.pt, também confirma que o Portal da Queixa Eletrónica partilhou dados que provavelmente nunca deveriam ter sido partilhados com a Google – mas soma ainda mais duas potenciais fugas.

O Portal da Queixa Eletrónica dispõe de uma funcionalidade de disfarce, que permite que o internauta clique num atalho rápido que o encaminha diretamente para o endereço do portal IOL.pt, no caso de uma terceira pessoa se aproximar do denunciante no momento da queixa eletrónica. Segundo João Pina, essa funcionalidade de disfarce permite o envio de dados que poderiam ser usados pelo Iol.pt ou Facebook, para apurar a identidade dos Internautas, se tivessem essa intenção. No caso de o utilizador fazer a queixa com uma sessão de utilizador iniciada no browser, então os dados de identidade são mesmo partilhados – sem ser necessária qualquer pesquisa adicional, garante João Pina.

João Pina responsabiliza o MAI por esta partilha de dados indevida – e diz mesmo que, do ponto de vista técnico, teria sido fácil travar esta fuga de informação. «É um contrassenso. A ideia era criar um portal confidencial, mas esse portal está a enviar dados para entidades privadas e comerciais. Não faz sentido partilhar este tipo de dados. Compreendo o interesse em ter este tipo de métricas, mas era possível usar ferramentas que fazem o mesmo e não enviam dados para a Google ou outras entidades privadas».

A Exame Informática contactou ainda mais dois especialistas em questões de cibersegurança que aceitaram analisar o Portal da Queixa Eletrónica sob anonimato. Ambos confirmam a partilha de dados que podem ser usados para a Google ou outras entidades identificarem vítimas e/ou denunciantes do Portal. «No limite, se uma pessoa usar aquele Portal para apresentar queixa da Google, então a Google terá forma de saber quem é a pessoa que fez essa queixa», refere um dos especialistas contactados pela Exame Informática.

Por escrito e sob anonimato, um especialista em proteção de dados pessoais também confirma que o endereço “chumba” quando submetido a uma simples análise de privacidade: «Pode existir aqui uma recolha de informação excessiva que a Google não precisava de guardar». «A partir daqui e com recurso à correlação de outros cookies (ex: sessão do Gmail, pesquisas google ou noutros serviços que utilizem o Google Analytics), a Google pode inferir o tipo de incidente que a potencial vítima sofreu e identifica-la univocamente. Se fizer uma pesquisa no Google por “queixa violação doméstica” e for para o Portal da Queixa Eletrónica, o Google fica automaticamente a saber durante 6 meses que provavelmente eu fui vítima de algum tipo de abuso», refere o especialista, para depois concluir: «somando a isto o facto de não ter uma notificação dos cookies alinhada com os futuros requisitos da diretiva e-privacy e poder estar a violar algumas regras do Regulamento Geral de Proteção de Dados, diria que o Portal da Queixa Eletrónica está a fornecer um mau serviço público».

Os cookies são componentes de informação que costumam ser obtidos por sites através dos browsers (Chrome, Edge, Firefox, etc.) para facilitarem a navegação dos internautas. No caso do Google Analytics a informação fornecida pode suplantar os próprios cookies, com dados adicionais que nem sempre estão contidos nos cookies mais comuns.

Estes dados recolhidos pela Google Analytics, que são usados para monitorização de tráfego e conhecer tendências e preferências de consumo, são denominados Urchin Tracking Module (UTM). Eventualmente, a denominação dada a estes pedaços de informação foi herdada da aquisição da Urchin Software Corporation pela Google, no passado. A Google junta a cada UTM uma letra que indica a categoria dos dados apurados.

Pedro Fortuna admite que as vulnerabilidades do Portal da Queixa Eletrónica podem não se ficar apenas pela falta de privacidade – e que as próprias páginas deste portal possam estar a necessitar de uma atualização: «Sem ter feito uma análise exaustiva aos componentes utilizados pelo website, foi possível perceber que, pelo menos, alguns componentes nunca foram atualizados. A versão jQuery em uso é a 1.8.3, que foi lançado a 13 de Novembro de 2012. Quase nove anos depois, nunca mais este website teve este componente atualizado. O problema é que este componente tem pelo menos três vulnerabilidades médias/graves que podem permitir em certos cenários que um atacante corra código malicioso no site», exemplifica o especialista da Jscrambler.

Hoje, o Portal da Queixa Eletrónica continua em atividade – mas o MAI admite que o endereço poderá vir a ter os dias contados, apesar de não especificar uma data. «De referir que, em 2019, a IGAI tornou disponível o serviço de Queixa Online que, por vários motivos, acabou por ser criado e disponibilizado fora do atual Portal da Queixa Eletrónica, sendo este um indicador de que o Portal da Queixa Eletrónica, criado em 2008, irá em breve ser descontinuado».

http://exameinformatica.sapo.pt/noticias/internet/2019-09-25-Queixas-eletronicas-da-GNR-e-da-PSP-enviam-dados-de-vitimas-e-denunciantes-para-a-Google

Comentários

Enviar um comentário

Notícias mais vistas:

Motores a gasolina da BMW vão ter um pouco de motores Diesel

Os próximos motores a gasolina da BMW prometem menos consumos e emissões, mas mais potência, graças a uma tecnologia usada em motores Diesel. © BMW O fim anunciado dos motores a combustão parece ter sido grandemente exagerado — as novidades têm sido mais que muitas. É certo que a maioria delas são estratosféricas:  V12 ,  V16  e um  V8 biturbo capaz de fazer 10 000 rpm … As novidades não vão ficar por aí. Recentemente, demos a conhecer  uma nova geração de motores de quatro cilindros da Toyota,  com 1,5 l e 2,0 l de capacidade, que vão equipar inúmeros modelos do grupo dentro de poucos anos. Hoje damos a conhecer os planos da Fábrica de Motores da Baviera — a BMW. Recordamos que o construtor foi dos poucos que não marcou no calendário um «dia» para acabar com os motores de combustão interna. Pelo contrário, comprometeu-se a continuar a investir no seu desenvolvimento. O que está a BMW a desenvolver? Agora, graças ao registo de patentes (reveladas pela  Auto Motor und Sport ), sabemos o
Enviar um comentário
Ler mais

Saiba como uma pasta de dentes pode evitar a reprovação na inspeção automóvel

 Uma pasta de dentes pode evitar a reprovação do seu veículo na inspeção automóvel e pode ajudá-lo a poupar centenas de euros O dia da inspeção automóvel é um dos momentos mais temidos pelos condutores e há quem vá juntando algumas poupanças ao longo do ano para prevenir qualquer eventualidade. Os proprietários dos veículos que registam anomalias graves na inspeção já sabem que terão de pagar um valor avultado, mas há carros que reprovam na inspeção por força de pequenos problemas que podem ser resolvidos através de receitas caseiras, ajudando-o a poupar centenas de euros. São vários os carros que circulam na estrada com os faróis baços. A elevada exposição ao sol, as chuvas, as poeiras e a poluição são os principais fatores que contribuem para que os faróis dos automóveis fiquem amarelados. Para além de conferirem ao veículo um aspeto descuidado e envelhecido, podem pôr em causa a visibilidade durante a noite e comprometer a sua segurança. É devido a este último fator que os faróis ba
Enviar um comentário
Ler mais

A falsa promessa dos híbridos plug-in

  Os veículos híbridos plug-in (PHEV) consomem mais combustível e emitem mais dióxido de carbono do que inicialmente previsto. Dados recolhidos por mais de 600 mil dispositivos em carros e carrinhas novos revelam um cenário real desfasado dos resultados padronizados obtidos em laboratório. À medida que as políticas da União Europeia se viram para alternativas de mobilidade suave e mais verde, impõe-se a questão: os veículos híbridos são, realmente, melhores para o ambiente? Por  Inês Moura Pinto No caminho para a neutralidade climática na União Europeia (UE) - apontada para 2050 - o Pacto Ecológico Europeu exige uma redução em 90% da emissão de Gases com Efeito de Estufa (GEE) dos transportes, em comparação com os valores de 1990. Neste momento, os transportes são responsáveis por cerca de um quinto destas emissões na UE. E dentro desta fração, cerca de 70% devem-se a veículos leves (de passageiros e comerciais). Uma das ferramentas para atingir esta meta é a regulação da emissão de di
Enviar um comentário
Ler mais