A conta Gov.br da editora-executiva do Jornal O Estado de São Paulo, Andreza Matais, foi invadida, segundo informações do site Metrópoles. O fato, entretanto, não é isolado e nem tampouco tem conotação política. Andreza é apenas mais uma das milhares de vítimas que já registraram queixas de roubo de suas credenciais para acesso ao portal de serviços do governo operado pelo Serpro.
Segundo fontes no governo, esse novo ataque expõe a fragilidade do sistema de segurança de credenciamento no portal que é operacionalizado pelo Serpro. Falhas supostamente estão ocorrendo por causa de “bugs” e na fase de autenticação biométrica facial. Milhares de casos semelhantes ao de Andreza já andaram ocorrendo desde o lançamento das credenciais “prata e ouro” no Gov.br.
Houve uma tentativa da Secretaria de Governo Digital (SGD) de migrar o portal para a nuvem da AWS (Amazon Web Services), mas depois de algumas tentativas frustradas o processo foi interrompido e nunca mais houve comentários à respeito.
Este blog conhece mais um caso, que chegou a ser denunciado há uma semana. Um invasor conseguiu burlar a segurança da conta Gov.br de um funcionário da Controladoria-Geral da União (CGU). A conta do funcionário era configurada para autenticação de dois fatores, mas mesmo assim conseguiram acessá-la.
Esse meio seguro de autenticação inclusive foi desativado e o criminoso conseguiu acesso à Carteira Nacional de Habilitação (CNH) e outros documentos. O funcionário da CGU somente tomou conhecimento porque o sistema avisa que tinham mudado suas credenciais no Gov.br. Mas isso não ocorreu com o Banco Central que não informa alguma mudança pelo seu sistema de acesso integrado.
Reflexo
Essa falha de segurança no sistema de credenciamento do Gov.br pode vir a ser um reflexo da situação de caos administrativo que vem ocorrendo dentro da maior estatal de processamento de dados da América Latina. A grave falha de segurança do portal de serviços do governo demonstra que há baixo investimento em segurança e o principal: falta uma área de desenvolvimento para dar o suporte necessário à atualização dos sistema, que tem de ser constante, levando em conta atualizações tecnológicas do mercado.
Desde o governo Bolsonaro esses investimentos são baixos e no Governo Lula nada mudou. Ao contrário, o Serpro por incrível que possa parecer está há nove meses e meio aguardando a nomeação de um diretor de Desenvolvimento, uma área que já foi desmantelada pelo presidente da estatal, Alexandre Amorim, para abrir espaços para o Serpro contratar serviços terceirizados de empresas privadas interessadas em entrar pela janela no governo. Denúncia já feita por esse blog, de que está em curso uma manobra de Amorim para transformar a estatal em “barriga de aluguel”.
Há um nome indicado pelo senador Humberto Costa (PT-PE) para o cargo de diretor. Mas Amorim cria todas as dificuldades administrativas para protelar a aprovação da indicação do nome no Conselho de Administração do Serpro. A situação se arrasta há meses na estatal, mesmo depois da indicação passar pela aprovação na Casa Civil da Presidência da República.
*Este blog avisou várias vezes que essa briga política gerada por Alexandre Amorim ainda acabaria levando o Serpro a se expor publicamente por conta problemas na prestação dos seus serviços ao governo. A estatal está praticamente paralisada, nem precisou de greve movida por sindicatos para chegar a isso.
