Dia 25 de maio de 2023, o Tecmundo pulicou uma reportagem sobre acessos indevidos aos dados dos brasileiros via a plataforma do governo Gov.Br
Por Regina Tupinambá
A reportagem do TecMundo seria apenas a ponta do iceberg?
Supostamente, existem outras fragilidades que expõe os brasileiros por conta do sistema de autenticação da plataforma de governo.
É quase inimaginável o que supostamente os fraudadores podem fazer com as credenciais para autenticação na plataforma ou para assinatura de documentos eletrônicos com valor legal.
Por exemplo, a plataforma permite que com uma conta bancária aberta em nome de uma determinada pessoa o fraudador possa fazer empréstimos, vender veículos, vender imóvel, abrir empresa, assinar documentos com valor legal, fazer procuração, etc.
Não obstante, todas as assinaturas via a plataforma GOV.BR sem o certificado ICP-Brasil, poderão ser contestadas na justiça, porque segundo a regulação brasileira – MP 2200-02 de 2001, apenas o que é assinado com os certificados digitais ICP-Brasil tem o caráter da irrefutabilidade, mas o estrago já estará feito.
A plataforma também abre algumas oportunidades para os fraudadores por não possuir regras de negócios na aplicação para limitar o uso do recurso mais seguro que dispomos que é o certificado digital ICP-Brasil.
Quem tem acesso ao certificado digital eCNPJ de uma determinada empresa pode fazer inúmeras ações em nome do responsável legal da empresa titular do certificado. Acesso ilimitado aos dados do representante legal e até mesmo firmar compromissos em seu nome.
Outro ponto é que, segundo o conceito jurídico quem assina pela pessoa jurídica são pessoas físicas com poderes para representa-la, mas a plataforma aceita a assinatura digital de empresas em documentos comuns.
Assinaturas de pessoas jurídicas são firmadas por representantes da empresa. Por exemplo, sócios, diretores ou procuradores com esse poder. É importante lembrar que a assinatura eletrônica também é válida para documentos assinados por pessoas jurídicas – eCNPJ, mas desde que sejam utilizadas ferramentas de assinatura eletrônica que atendam aos requisitos legais. É o caso das assinaturas das notas fiscais eletrônicas. Mas não é sobre isso que estamos falando. Estamos nos referindo a assinaturas com o objetivo de formalizar acordos de quaisquer espécies.
Não queremos aqui fomentar as oportunidades a serem exploradas por fraudadores, por isso, o Crypto ID não divulga brechas de (in)segurança e inconformidades que supostamente existam na plataforma, mas o fato é que apesar do inegável avanço que a plataforma traz para o Brasil em termos de digitalização e os inúmeros benefícios que conferem aos brasileiros, é necessária uma revisão completa das políticas de autenticação e verificação de identidade digital do cidadão brasileiro e de pessoas jurídicas.
Temos disponíveis inúmeras soluções de identificação digital
Não seria o caso de alguns atos eletrônicos serem restritos ao uso dos cerificados digitais ICP-Brasil que tem por trás uma robusta infraestrutura com procedimentos técnicos e regulatórios rigorosamente auditados? E também, não poderiam ser consideradas outras soluções de autenticação, soluções antifraude, soluções de gestão de identidades e acessos, soluções com uso de tecnologias biométricas que podem ser aplicadas para reforçar a estrutura dessa magnífica plataforma do governo brasileiro?
Agora, leia a excelente reportagem do TecMundo.
Outros artigos de Regina Tupinambá você acessa aqui!
Receita Federal: contas de brasileiros sofrem acessos não-autorizados pelo GOVBR
Contas de brasileiros no Portal e-CAC, da Receita Federal, sofrem de supostos acessos não-autorizados desde a última sexta-feira (19).
Por meio de relatos diversos coletados pelo TecMundo, a maior parte dos protocolos de rede (IP) registrados nos acessos é proveniente dos Estados Unidos.
“Toda madrugada é um IP novo e sempre de algum host nos EUA”.
O problema chega em meio à liberação da primeira restituição do Imposto de Renda, que também já sofre com relatos de dificuldades técnicas na consulta online sobre valores a receber. O e-CAC é ponto de contato digital da Receita Federal com a população brasileira.
“Já tem 1 semana que comecei a receber esse email diariamente, mais ou menos sempre no mesmo horário de madrugada”, comentou um dos afetados ao TecMundo. “Inicialmente achei que minha credencial pudesse ter sido vazada no último ataque que rolou, corri pra ativar o 2FA e trocar a senha e esperei que o problema cessasse. Não cessou. Toda madrugada é um IP novo e sempre de algum host nos EUA”.
Outro usuário do e-CAC vem sofrendo com o mesmo acesso não-autorizado: “Imaginei se tratar de um ataque em campanha porque tentaram acessar o e-CAC justamente em um período de declaração de imposto de renda/restituição. Eles podem fazer mais que isso, imagino, mas talvez tentar alterar dados de restituição poderia ser uma hipótese”.
“Nenhum 2FA é enviado pro meu aparelho”.
Ainda não é possível quantificar quantas contas sofreram os supostos acessos não-autorizados.
Todos os relatos indicam o mesmo modus operandi: mesmo com troca de senha, segundo fator de autenticação ativado e boas práticas seguidas, diariamente o sistema da Receita Federal envia alertas de novos dispositivos registrados para os cidadãos — dispositivos, estes, de terceiros.
“Minha conta é protegida por ‘aprovação de dispositivo’ e todas as madrugadas eu deleto todos os dispositivos aprovados. No dia seguinte, novas contas Windows (Chrome) aparecem. Nenhum 2FA é enviado pro meu aparelho, mesmo consultando histórico de notificações”, complementou a primeira fonte.
e-CAC guarda dados sensíveis
O acesso não-autorizado em contas é perigoso: por baixo, ele oferece informações cruciais da vida digital de seu usuário oficial.
No e-CAC, por exemplo, é possível acessar nome completo, endereço de email, número telefônico, endereço residencial, foto, CPF, RG, CNH, CDI e certidões.
Com essas informações completas em mãos, cibercriminosos podem desenvolver golpes que vão do phishing direcionado (mensagens falsas cunhadas especificamente para um alvo) até a abertura de contas.
A alteração dos dados no governo também é uma possibilidade, uma vez dentro do sistema.
O TecMundo entrou em contato com a assessoria de imprensa da Receita Federal. Sem detalhar os motivos para que dezenas de acessos provenientes dos Estados Unidos tenham supostamente acontecido em contas, nos foi enviado o seguinte comunicado:
“A conta GOV.BR dispõe de uma funcionalidade de dupla verificação, que visa aumentar a segurança dos usuários. Dessa forma, cada dispositivo que acessa a conta GOV.BR é identificado e o usuário recebe uma notificação em seu e-mail cadastrado. Se o cidadão tiver delegado o acesso a um terceiro (contador, advogado, despachante etc.) para acesso a determinados serviços, compartilhando o seu certificado digital, pode ter recebido esses e-mails. Ressaltamos que os acessos com certificado digital, QRcode (sem senha) ou com a verificação em duas etapas ativa são automaticamente autorizados pela natureza segura desses acessos. O usuário GOV.BR poderá habilitar o acesso à conta apenas por dispositivos por ele autorizados, a qualquer momento, no aplicativo gov.br“.
Fonte: TecMundo
Assinatura eletrônica não é sinônimo de assinatura digital. Por Regina Tupinambá
Em audiência pública, vice-presidente da AARB sugere mais segurança no acesso ao Gov.br
Renave: Assinatura eletrônica facilita transferência de propriedade de veículos no Brasil.
SELOS DE IDENTIFICAÇÃO UTILIZADOS PELO GOV.BR
Identidade Digital Bronze
Com este nível, já é possível fazer assinaturas simples, válidas em situações de baixo risco e que não envolvam informações sigilosas.
Identidade Digital Prata
Refere-se àqueles que acessam o Gov.br com a conta e senha dos bancos já integrados à plataforma.
Identidade Digital Ouro
Identifica quem tem certificado Digital ICP-Brasil e biometria facial registrada no aplicativo Meu Gov.br.
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!