PF apura espionagem de dispositivos móveis no Brasil através de software fornecido por empresa de Florianópolis e utilizado pela Abin
Por Laura Machado
Link Original da Matéria no Portal NDMais
Uma investigação da PF (Polícia Federal), com mandados cumpridos em Florianópolis, apura espionagem em dispositivos móveis e alerta para os cuidados que precisam ser tomados no dia a dia e as medidas a serem tomadas se os dados já tiverem sido expostos.
No mundo virtual, a todo momento alguém aceita compartilhar informações pessoais, em bancos de dados de órgãos e até empresas privadas. Se não armazenada da forma correta, esse tipo de coleta, se exposta, pode causar inúmeros problemas.
O que é ‘coleta de dados’?
A coleta de dados é uma espécie de recolhimento das informações produzidas por pessoas ou operações, que servem como base para a criação de planejamentos estratégicos.
Para isso, a LGPD (Lei Geral de Proteção de Dados) define uma série de regras para a utilização desse tipo de conteúdo, levando em consideração a privacidade e a segurança de cada pessoa.
Na sexta-feira (20) a PF deflagrou uma operação que apura a espionagem da telefonia brasileira através da invasão de um software da Abin (Agência Brasileira de Inteligência). Pelo menos três mandados foram cumpridos em Florianópolis, São José e Palhoça.
Chamada de ‘Última Milha’, a operação aponta um esquema envolvendo servidores da Abin que invadiram o sistema de geolocalização da agência em dispositivos móveis.
O software FirstMile, utilizado pela Abin, foi fabricado pela empresa israelense Cognyte, representada no Brasil pela Suntech SA, com sede em Florianópolis.
O ND+ entrou em contato com a Suntech SA, mas não teve retorno até a publicação desta reportagem.
Em 2019, a Acate (Associação Catarinense de Tecnologia) teria recebido uma solicitação da empresa Suntech SA de um atestado de exclusividade, com informações específicas sobre o funcionamento do software.
Em nota, a Acate informou que os documentos produzidos pela instituição descrevem apenas as “funcionalidades” do sistema e que os atestados são de acesso público. Leia o posicionamento na íntegra.
“A Associação Catarinense de Tecnologia (ACATE) esclarece que os atestados de exclusividade emitidos pela entidade restringem-se a descrever o software, suas funcionalidades e a empresa que é a sua titular ou que possui direitos sobre o mesmo, mediante as informações repassadas pela empresa requerente.
Tais atestados são utilizados, em regra, para a participação em concorrências públicas, com intuito meramente descrito do sistema e informativo de seu titular. Não cabe à entidade e nem é de sua competência, fazer qualquer tipo de avaliação ou acreditação acerca dos softwares mencionados nos atestados.
Cabe ao contratante avaliar se o sistema cumpre os requisitos legais de funcionalidade e segurança, que permitam seu uso dentro da legislação. Destaca-se que todos os atestados emitidos ficam disponíveis no portal da ACATE e acessíveis a qualquer pessoa, dando total transparência ao processo”, informou a Acate.
Vazamento de dados: o que dizem os especialistas?
A analista de sistemas e especialista em perícia computacional forense Georgia Maria Benetti, explica que esse tipo de informação pode ser acessada mesmo que o usuário não tenha compartilhado a própria localização.
“Nesse caso específico, ela [coleta de dados] mostra onde o celular está, com base na conexão que aquele aparelho faz com a torre de sinal telefônico. Temos várias torres de sinal e cada uma tem determinada área de abrangência, então não é necessário nem ligar o GPS, já que é possível ver em qual torre o celular está se conectando”, aponta Georgia.
“A geolocalização pode até ser relacionada com dados pessoais sensíveis, que precisam ainda mais de proteção porque, se casadas com outras informações, possibilitam descobrir a religiosidade de alguém, até mesmo a origem étnica, porque ligam o indivíduo a uma comunidade, por exemplo”, esclarece a especialista em cibersegurança.
A Abin emitiu uma nota na última sexta-feira (20) explicando que abriu uma “sindicância investigativa” em março deste ano para verificar o uso do sistema de geolocalização. Leia a íntegra:
“Agência Brasileira de Inteligência (ABIN) informa que, em 23 de fevereiro de 2023, a Corregedoria-Geral da ABIN concluiu Correição Extraordinária para verificar a regularidade do uso de sistema de geolocalização adquirido pelo órgão em dezembro de 2018.
A partir das conclusões dessa correição, foi instaurada sindicância investigativa em 21 de março de 2023. Desde então, as informações apuradas nessa sindicância interna vêm sendo repassadas pela ABIN para os órgãos competentes, como Polícia Federal e Supremo Tribunal Federal.
Todas as requisições da Policia Federal e do Supremo Tribunal Federal foram integralmente atendidas pela ABIN. A Agência colaborou com as autoridades competentes desde o início das apurações.
A ABIN vem cumprindo as decisões judiciais, incluindo as expedidas na manhã desta sexta-feira (20). Foram afastados cautelarmente os servidores investigados.
A Agência reitera que a ferramenta deixou de ser utilizada em maio de 2021. A atual gestão e os servidores da ABIN reafirmam o compromisso com a legalidade e o Estado Democrático de Direito”, disse a Agência em nota.
Como funciona o software de geolocalização FirstMile?
O sistema FirstMile seria capaz de acompanhar o posicionamento de pelo menos 10 mil dispositivos durante um ano.
“Ele tem uma capacidade analítica muito grande de dados, que podem vir de inúmeras fontes, então é possível fazer a correlação deles, análises, tem a parte de geolocalização, também é possível cruzar informações, tudo isso dentro de uma plataforma, é assim que o FirstMile funciona”, detalha o consultor de segurança e proteção de dados Ramicés dos Santos.
No caso da situação da Abin, segundo Ramicés, o compartilhamento dessas informações é exclusivamente feito por segurança, para atividades de inteligência.
“Esses dados vêm das operadoras de telefonia, então a Abin tem os convênios de segurança para receber esses dados das operadoras, para fins de investigação, ou seja, tem um ponto de acesso a essas informações [..] por exemplo, é possível pegar o meu número de telefone e verificar por onde eu passei, porque elas [empresas de telefonia] informaram onde o meu celular se conectou”, pontua.
O analista explica ainda que o software só é capaz de funcionar “se os dados forem fornecidos pelas empresas”.
“O uso dos dados dentro das estruturas de segurança é que devem seguir controles dentro de atividades específicas e operações bem documentadas, respeitando o rito legal. O software sozinho não tem como acessar tais informações”, diz o consultor de segurança.
“As pessoas costumam ficar muito alarmadas, mas na verdade qualquer tecnologia tem seus riscos, o próprio fogo que utilizamos todos os dias para fazer inúmeras atividades, também pode ser extremamente perigoso, vai depender do uso que damos para isso. A tecnologia digital funciona da mesma maneira”, complementa a analista Georgia Maria Benetti.
Os dados captados em coletas ajudam a identificar uma série de informações relevantes sobre os usuários, incluindo preferências de navegação, como os cookies.
Afinal, o que são os ‘cookies’?
Os cookies são alguns dos tipos de coleta de dados mais comuns, principalmente na internet. Eles são arquivos que ficam salvos no navegador do usuário a partir das preferências de navegação em diferentes sites.
“Eles são mecanismos tecnológicos utilizados para funcionamento das páginas web. Quando estamos navegando pela internet, em páginas dentro do nosso navegador, eles são inseridos como suporte para várias funções, algumas delas ajudam na segurança e também a personalizar o ambiente”, esclarece Santos.
O segmento que mais se beneficia com os cookies, segundo o especialista, é o do marketing e da publicidade, já que o perfil e as preferências do usuário ficam armazenadas para ajudar a personalizar o que é oferecido a quem acessa.
“Hoje em dia, os sites que estão adequados, devem fazer dessa forma, de maneira transparente, demonstrando a política de privacidade, explicando o que são os cookies e para que servem, oportunizando ao usuário revogar o acesso a qualquer momento. Isso funciona para tudo”, finaliza Ramicés.
