Após uma denúncia da imprensa sobre expor dados de usuários cadastrados para barrar chamadas indesejadas de telemarketing, a Fundação Procon-SP começou a utilizar o protocolo HTTPS em todo o site. A medida, porém, ainda não contempla muncípios dos estados do Rio Grande do Sul e Mato Grosso do Sul, onde o serviço ainda utiliza o protocolo HTTP.
Lançado em 2009, o sistema dependia de conexões não protegidas, fato que facilmente poderia expor dados pessoais dos cadastrados no serviço para bloqueio de Recebimento de Ligações de Telemarketing. A descoberta sobre a vulnerabilidade do site do Procon-SP foi registrada pelo Agora, que fez o teste preenchendo o cadastro – inserindo nome, CPF, RG, e-mail, endereço e telefone. Ao submeter o programa para analisar a conexão, foi possível ler todas as informações registradas.
O protocolo que até então era adotado pela Fundação era inseguro, ou seja, os dados dos usuários quando enviados não eram criptografados. Em conexões que utilizam o HTTP, é relativamente fácil interceptar a conexão e roubar dados trafegados na rede.
Outros bloqueios que ainda não utilizam o protocolo HTTPS
Diversos estados oferecem serviços para bloquear totalmente ligações de telemarketing – incluindo de operadoras, bancos, financeiras e imobiliárias. Alguns deles, porém, não se preocupam em utilizar protocolos seguros ou mesmo tecnologias mais recentes que dificultem a exposição dos dados dos usuários.
Os estados Alagoas, Ceará, Maranhão, Mato Grosso do Sul, Paraíba e Rio Grande do Sul ainda não utilizam conexão HTTPS em seus respectivos cadastros anti-telemarketing. Espirito Santo, Goiás, Minas Gerais, Paraná, Santa Catarina e São Paulo já adotam o protocolo criptografado, com a ressalva do Distrito Federal, que apesar de utilizar o HTTPS, não faz uso dele em formulários que recebem dados de cadastro e login, a parte mais importante e qual exigiria, obrigatoriamente, a criptografia.
Via: Tecnoblog/Procon-SP