Senha do Infoseg é vendida na Internet

14 de março de 2013
Compartilhe

O Sistema do Governo Federal INFOSEG, utilizado normalmente pelos operadores da Justiça e da Polícia, que contém informações sobre todos os brasileiros ativos economicamente, com dados mais interessantes do que a própria base de Imposto de Renda da Receita Federal, foi quebrado no seu elo mais frágil: pessoas. Segundo a reportagem apresentada pelo SBT, senhas de acesso ao sistema são vendidas na Internet. Com preço e prazo de validade: R$ 2 mil reais, com validade de 30 dias.

De alguma maneira o criminoso conseguiu a senha de um usuário válido do sistema, que com grandes chances nem sabe que está sendo o meio para a fraude, e vende na Internet esta informação. O mercado interessado neste acesso que possibilita uma infinidade de acessos para os dados do cidadão é formado por criminosos que, com o conhecimento destes dados, elaboram os mais sofisticados e os mais simples golpes. E o ROI (retorno sobre investimento) para os criminosos é bastante positivo.

Vale à pena lembrar que este crime não utilizou nenhum procedimento técnico altamente sofisticado, tipo quebrar a criptografia do sistema.

Para este caso, as autoridades policiais devem investigar, devem prender os criminosos e devem implantar controles mais rígidos para o sistema.

Em um artigo registrado em um dos meus livros eu comento que “Alguém autorizado vai acessar”. E para estes casos precisamos também ter controles. Que tipo de controles pode-se ter para garantir que apenas a pessoa autorizada está utilizando a identificação-senha dela?

1. Melhorar a autenticação

Autenticar e provar que você é você. Pode ser utilizando algo que você sabe (senha), algo que você tem (cartão, token) ou algo que você é (biometria). Cada uma destas formas podem ser utilizada isolada ou em conjunto. Para um sistema desta criticidade deveríamos ter o uso da biometria e de um cartão. A sensibilidade das informações deste sistema exige este grau de controle.

2. Revisão periódica dos usuários válidos

Um agente da polícia ou do judiciário válido hoje pode não estar mais válido amanhã. Esta pessoa pode ter se aposentado, pode estar de licença ou pode ter pedido para sair da organização. Esta revisão periódica evitará o uso fraudulento de usuários do sistema.

3. Quantidade de consultas

Com certeza o uso fraudulento deste sistema deve gerar um número muito maior do que o uso normal deste sistema por um usuário autorizado. A limitação de quantidade de acessos pode facilmente indicar que o sistema está sendo utilizado fraudulentamente.

4. Exigência de localização física.

A maioria das consultas do sistema deve acontecer a partir de locais físicos dos órgãos governamentais. Desta maneira, restringir o acesso a partir de um endereço físico garantirá mais controle e evitará o uso fraudulento. Os usuários que necessitam fazer este acesso em qualquer lugar ou em qualquer hora devem ser em menor número e isto facilitará o seu controle.

5. Envio dos acessos realizados para o usuário

Por outro meio, tipo correio eletrônico ou correio convencional, o usuário dono de uma identificação e autenticação válidos para o sistema deve receber comunicação de como tem sido a sua utilização do sistema. Desta maneira, se  alguém estiver utilizando fraudulentamente a sua identificação e autenticação, ele poderá identificar esta situação e comunicar aos órgãos competentes.

A segurança da informação é eficiente ao considerar todos os seus elementos. Como uma corrente, ou como um sistema de som-vídeo, a qualidade vai ser equivalente ao seu elo mais frágil, ou no caso do som-vídeo ao seu equipamento de pior qualidade.

Aprender com o passado é uma obrigação de quem trabalha com segurança. Não é possível prever todas as situações que podem acontecer. Os criminosos possuem uma criatividade e inteligência de qualidade. Mas podemos aprender com o passado. Se você pesquisar na Internet ou no YouTube descobrirá que problemas semelhantes já aconteceram.

Grande abraço e sorria: alguém criminosamente pode estar vendo seus dados.

*Edison Fontes. Mestre em Tecnologia, possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

 

Últimas Notícias
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais
NEXT 2023: FIAP PREMIA MAIS DE 80 PROJETOS DOS ALUNOS DA GRADUAÇÃO Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.