Segundo o levantamento da empresa de segurança DigiCert, 9 mil domínios do governo não utilizam HTTPS, incluindo sites federal, estadual e municipal. Isso representa 47% os domínios .gov do Brasil sem certificado digital TLS ou SSL, o que significa que dados de milhões de usuários estão sem qualquer proteção. Como exemplo desse descaso, em outubro, o Olhar Digital publicou em primeira mão o vazamento de dados de quase 70 milhões de brasileiros, que estavam disponíveis no site do Detran do Rio Grande do Norte.
No total, cerca de 19.900 domínios .gov no Brasil foram contabilizados pela DigiCert. Desse total, apenas 10.551 usam HTTPS com certificado TLS e SSL, incluindo o portal único gov.br do governo federal lançado este ano. O sinal de cadeado na barra de endereço do navegador demonstra que a conexão é segura ou que usa criptografia.
No entanto, nem toda conexão segura é sinônimo de site seguro. É o que mostra o estudo da PhishLabs, especializada em consultoria de segurança, o qual aponta que metade dos sites de phishing adotam o HTTPS para parecerem mais legítimos: os dados que você digitar estarão protegidos de invasores, mas cairão nas mãos de um criminoso.
Apesar de importante e necessário, o HTTPS não é suficiente para manter um site seguro. Logo, é um problema que 9.356 domínios .gov.br adotem esse tipo de proteção. Vale lembrar que os certificados SSL podem ser obtidos gratuitamente do “Let’s Encrypt”.
Sites do governo sem HTTPS
Por exemplo, o Detran (Departamento Estadual de Trânsito), para consulta de veículos, tem uma página de login com número de placa e Renavan sem HTTPS que davam acesso, por meio de testes com variados números de CPFs gerados aleatoriamente, ao banco de dados completo (com número de CPF, outros dados pessoais como endereço residencial completo, telefone, operadora, dados da CNH (categoria, validade, emissão, restrição, registro), foto, RG, CPF, data de nascimento, sexo e idade) dos Detrans de todo o Brasil – que têm seus sistemas integrados e unificados.
O problema não se restringe apenas à esfera federal. O portal do governo de São Paulo também apresentou vulnerabilidade no acesso, o qual acarretou o vazamento de dados de 28 milhões de usuários do Programa de Incentivo à Cultura do Estado de São Paulo (ProAC), da Secretaria de Cultura e Economia Criativa. Abaixo, é possível observar que a página do ProAC não possui HTTPS, ou seja, sem conexão segura.
Outro exemplo é o site do Procon para bloqueio de telemarketing, serviço criado pelo órgão de Defesa do Consumidor para proteger usuários de serem perturbados por esse tipo de chamada. Anteriomente, quando recém-lançado, o site utilizava o protocolo de segurança HTTP para fazer a conexão entre os usuários e o sistema do Procon.
Ao adotar esse protocolo, o sistema pode ser facilmente interceptado, o que aumenta as chances de os usuários terem seus dados vazados. O HTTP também permite que uma cópia falsa do site possa ser exibida para enganar os usuários. As possibilidades para que as pessoas sejam induzidas ao erro são grandes.
Via: Tecnoblog