A Fundação Procon-SP passou a utilizar o protocolo HTTPS em todo o seu site, incluindo no Cadastro para Bloqueio do Recebimento de Ligações de Telemarketing, após uma denúncia da imprensa: o sistema lançado em 2009 dependia de conexões não-protegidas há anos, potencialmente expondo dados pessoais como endereço e número de telefone. Em outros estados, como Rio Grande do Sul e Mato Grosso do Sul, os sistemas para barrar chamadas indesejadas ainda usam HTTP.
- Como solicitar bloqueio de ligações de telemarketing [Vivo, TIM, Claro, Oi]
- Por que HTTPS não quer dizer “site seguro”
O jornal Agora fez o teste: preencheu o cadastro do Procon-SP para bloqueio de telemarketing, inserindo dados como nome, CPF, RG, e-mail, endereço e telefone. Ao usar um programa para analisar a conexão, foi possível ler todos as informações enviadas.
O motivo é simples: o site adotava o HTTP em vez de HTTPS, por isso os dados não usavam criptografia durante o envio. Seria relativamente fácil interceptar a conexão e roubar essas informações.
O Internet Archive mostra que esta página para bloqueio de telemarketing usava HTTP desde pelo menos 2011. O sistema foi lançado em 2009 após a aprovação de uma lei estadual: moradores de São Paulo podem solicitar opt-out de ligações indesejadas de qualquer empresa, incluindo operadoras, bancos, financeiras e imobiliárias.
O Procon-SP respondeu dizendo que, a partir da segunda quinzena de agosto, passaria a utilizar o protocolo HTTPS no site de bloqueio de telemarketing. Dito e feito: notamos que https://www.procon.sp.gov.br/bloqueiotelef passou a ser o link de acesso nesta sexta-feira (16).
O órgão adotou um certificado SSL da DigiCert e a página carrega todos os recursos via HTTPS, garantindo maior segurança. No entanto, ainda falta fazer alguns ajustes: o Google Chrome avisa que o site utiliza tecnologias antigas como TLS 1.0 e troca de chaves RSA; o navegador recomenda mudar para o TLS 1.2 (ou superior) e para uma troca de chaves com protocolo ECDH.
Outros bloqueios de telemarketing ainda não usam HTTPS
O Não Me Perturbe, criado por determinação da Anatel para bloquear chamadas indesejadas de operadoras, foi lançado em julho já com HTTPS. No entanto, ele não serve para barrar ligações de outras empresas, como bancos e imobiliárias.
Diversos estados oferecem cadastros online para bloqueio total de telemarketing, porém muitos ainda usam HTTP para receber dados pessoais, em vez de HTTPS.
Fizemos um levantamento dos cadastros anti-telemarketing que não utilizam conexão HTTPS:
- Alagoas:naoperturbe.itec.al.gov.br
- Ceará:wapp.mpce.mp.br/DeconAntiMarketing
- Maranhão:www.procon.ma.gov.br/bloqueio-de-telemarketing-2
- Mato Grosso do Sul:www.bloqtel.ms.gov.br/bloqueioAcesso.aspx
- Paraíba:naoperturbe.procon.pb.gov.br
- Rio Grande do Sul:www.proconbloqueio.rs.gov.br
Enquanto isso, os estados abaixo adotam o HTTPS:
- Espírito Santo:sistemas.es.gov.br/procon/bloqueiotelef
- Goiás:proconweb.ssp.go.gov.br
- Minas Gerais:aplicacao.mpmg.mp.br/proconbloqueio
- Paraná:www.bloqueio.procon.pr.gov.br
- Santa Catarina:bloqueiotelemarketing.procon.sc.gov.br
- São Paulo:www.procon.sp.gov.br/bloqueiotelef
O cadastro anti-telemarketing do Distrito Federal usa HTTPS, exceto na parte mais importante: nos formulários que recebem os dados de login e cadastro. Ele foi lançado em julho e pode ser acessado em merespeite.procon.df.gov.br.
O estado do Rio de Janeiro sancionou em abril uma lei que criará um cadastro de bloqueio de telemarketing, mas isso ainda precisa ser implementado. Por sua vez, Mato Grosso analisa um projeto de lei estadual sobre o assunto.
Comentários
Envie uma perguntaOs mais notáveis
Em parte é culpa da própria política de licitações no Brasil que é completamente defasada, mas ninguém faz nada a respeito. As licitações obrigam o órgão a procurar sempre a solução mais barata, que não necessariamente é a melhor ou mais segura. Juntamos isso com a falta de informação ou de experiência técnica do próprio setor responsável e temos cagadas como essa. Acho que a Google e outras empresas já podem acelerar o bloqueio padrão do HTTP... Podem até reclamar, mas a vdd é que sem essa pressão, esse monte de site que ainda usa conexões do tipo, nunca vai se organizar!
Já se vão mais de 2 semanas com esse anúncio de topo ocupando 30% da tela aqui pra mim, outros leitores já avisaram vocês, hoje nem li a matéria apenas vim nos comentários dar esse toque.
E pra instalar esse simples certificado, os aspones devem ter gasto uma fortuna.
Acho que dá pra contar nos dedos os sites governamentais com segurança. O descaso do Estado com a segurança dos dados dos cidadãos é tão grande que nem com o Let's Encrypt fornecendo certificados gratuitos o governo tem interesse em tornar os sites seguros. Isso quando a empresa pública de TI não comercializa os dados da população.