Início » Antivírus e Segurança » Cadastro para bloqueio de telemarketing em SP enfim adota HTTPS

Cadastro para bloqueio de telemarketing em SP enfim adota HTTPS

Em outros estados, sistemas para bloquear ligações indesejadas ainda usam HTTP; Procon-SP adotou HTTPS em todo o site

Felipe Ventura Por

A Fundação Procon-SP passou a utilizar o protocolo HTTPS em todo o seu site, incluindo no Cadastro para Bloqueio do Recebimento de Ligações de Telemarketing, após uma denúncia da imprensa: o sistema lançado em 2009 dependia de conexões não-protegidas há anos, potencialmente expondo dados pessoais como endereço e número de telefone. Em outros estados, como Rio Grande do Sul e Mato Grosso do Sul, os sistemas para barrar chamadas indesejadas ainda usam HTTP.

Foto por TheDigitalWay/Flickr

O jornal Agora fez o teste: preencheu o cadastro do Procon-SP para bloqueio de telemarketing, inserindo dados como nome, CPF, RG, e-mail, endereço e telefone. Ao usar um programa para analisar a conexão, foi possível ler todos as informações enviadas.

O motivo é simples: o site adotava o HTTP em vez de HTTPS, por isso os dados não usavam criptografia durante o envio. Seria relativamente fácil interceptar a conexão e roubar essas informações.

O Internet Archive mostra que esta página para bloqueio de telemarketing usava HTTP desde pelo menos 2011. O sistema foi lançado em 2009 após a aprovação de uma lei estadual: moradores de São Paulo podem solicitar opt-out de ligações indesejadas de qualquer empresa, incluindo operadoras, bancos, financeiras e imobiliárias.

O Procon-SP respondeu dizendo que, a partir da segunda quinzena de agosto, passaria a utilizar o protocolo HTTPS no site de bloqueio de telemarketing. Dito e feito: notamos que https://www.procon.sp.gov.br/bloqueiotelef passou a ser o link de acesso nesta sexta-feira (16).

O órgão adotou um certificado SSL da DigiCert e a página carrega todos os recursos via HTTPS, garantindo maior segurança. No entanto, ainda falta fazer alguns ajustes: o Google Chrome avisa que o site utiliza tecnologias antigas como TLS 1.0 e troca de chaves RSA; o navegador recomenda mudar para o TLS 1.2 (ou superior) e para uma troca de chaves com protocolo ECDH.

Procon e HTTPS

Outros bloqueios de telemarketing ainda não usam HTTPS

O Não Me Perturbe, criado por determinação da Anatel para bloquear chamadas indesejadas de operadoras, foi lançado em julho já com HTTPS. No entanto, ele não serve para barrar ligações de outras empresas, como bancos e imobiliárias.

Diversos estados oferecem cadastros online para bloqueio total de telemarketing, porém muitos ainda usam HTTP para receber dados pessoais, em vez de HTTPS.

Fizemos um levantamento dos cadastros anti-telemarketing que não utilizam conexão HTTPS:

Enquanto isso, os estados abaixo adotam o HTTPS:

O cadastro anti-telemarketing do Distrito Federal usa HTTPS, exceto na parte mais importante: nos formulários que recebem os dados de login e cadastro. Ele foi lançado em julho e pode ser acessado em merespeite.procon.df.gov.br.

Procon-DF e HTTPS

O estado do Rio de Janeiro sancionou em abril uma lei que criará um cadastro de bloqueio de telemarketing, mas isso ainda precisa ser implementado. Por sua vez, Mato Grosso analisa um projeto de lei estadual sobre o assunto.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

phsodre

Em parte é culpa da própria política de licitações no Brasil que é completamente defasada, mas ninguém faz nada a respeito. As licitações obrigam o órgão a procurar sempre a solução mais barata, que não necessariamente é a melhor ou mais segura. Juntamos isso com a falta de informação ou de experiência técnica do próprio setor responsável e temos cagadas como essa. Acho que a Google e outras empresas já podem acelerar o bloqueio padrão do HTTP... Podem até reclamar, mas a vdd é que sem essa pressão, esse monte de site que ainda usa conexões do tipo, nunca vai se organizar!

Dan_Marx

Já se vão mais de 2 semanas com esse anúncio de topo ocupando 30% da tela aqui pra mim, outros leitores já avisaram vocês, hoje nem li a matéria apenas vim nos comentários dar esse toque.

Luiz Henrique

E pra instalar esse simples certificado, os aspones devem ter gasto uma fortuna.

johndoe1981

Acho que dá pra contar nos dedos os sites governamentais com segurança. O descaso do Estado com a segurança dos dados dos cidadãos é tão grande que nem com o Let's Encrypt fornecendo certificados gratuitos o governo tem interesse em tornar os sites seguros. Isso quando a empresa pública de TI não comercializa os dados da população.