Dados do Censos 2021 estão em causa? "Então o site das Finanças também estaria comprometido"

Analista de sistemas e programador português João Pina garante que a Comissão Nacional de Proteção de Dados "está a criar um precedente muito errado" ao ordenar que o INE suspenda os serviços da gigante de cibersegurança norte-americana Cloudflare para os Censos 2021 e lembrou que o site das Finanças e Eleições usam serviços semelhantes. INE pode, assim, ter perdido proteção contra ataques. Cloudflare já respondeu.

A internet é de simples acesso, mas a sua segurança é mais complexa do que muitos possam julgar. Uma das empresas mais relevantes a nível mundial na hora de dar uma base de rapidez e segurança aos sites e apps (e tudo o que esteja online) é a norte-americana Cloudflare. A Comissão Nacional de Proteção de Dados (CNPD) ordenou ontem o INE a deixar de usar os serviços da empresa no Censos 2021 devido a possível "envio de dados dos Censos para os EUA". Tudo terá começado num post de Facebook com informação falsa (que foi promovido pelo grupo Juristas pela Verdade).

Estima-se que a Cloudflare seja usada por cerca de 12,3% dos sites e apps da internet (em Portugal é dominante, incluindo em sites do Estado e de várias empresas) e mais de 30% das empresas Fortune 500 usam os seus serviços. Existem ainda outras estimativas de analistas que apontam que entre 6 e 10% do tráfego na internet passa pela Cloudflare - há rivais sem o mesmo tamanho como Imperva, Akamai, Amazon CloudFront, etc.

O analista de sistemas e programador português João Pina garante que "a CNPD está a criar um precedente muito errado" e que "o atual funcionamento base da internet não consegue garantir que o tráfego não dê a volta ao mundo até chegar ao servidor de destino".

Pina é fundador de vários projetos utilitários online como o Fogos.pt, a VOSTPT ou o suprimidos.pt e tem-se tornado conhecido por expor com frequência vulnerabilidades em sites de empresas e do Estado. O programador analisou as acusações da CNPD ao pormenor no seu site (com vários dados técnicos) e lamenta que se esteja a "dar valor a uma publicação feita numa rede social por alegadamente uma conta falsa apenas criada para espalhar desinformação".

A Cloudflare tem dito que está em conformidade com o Regulamento Geral de Proteção de Dados (RGPD) e indicou já uma série de precedentes na UE que o comprovam, algo que a CNPD não aceita, sem prestar qualquer informação concreta porque o faz. Na sua deliberação indica que apesar da Cloudflare deter 200 datacenters localizados em mais de cem países (incluindo em Portugal), "a grande maioria dos quais não tem um nível de proteção de dados adequado", nos termos previstos no RGPD.

João Pina explica ao Dinheiro Vivo que são esses 200 datacenters (determinantes em tornar os sites mais rápidos) e um foco rigoroso na privacidade e segurança que tornaram a Cloudflare uma referência mundial na área. Indica também que a alegação da CNPD de que o INE "não tem forma de saber se o tráfego está a ser dirigido" para servidores fora da UE "não é totalmente verdade". "A Cloudflare injeta em todos os pedidos um header com a indicação da cidade está o servidor que recebeu o pedido".

Os dados pessoais do Censos podem estar a ser espiados?

O analista de sistemas garante que não é isso que acontece, pelo menos pela Cloudflare. "Obviamente que não é isso que acontece [sobre a Cloudflare poder armazenar o tráfego que lá passa e poder aceder aos dados a qualquer momento, como indicia a CNPD]".

Embora possa ter acesso aos dados de IP, a Cloudflare "não armazena as respostas das pessoas aos censos", garante João Pina, dando o exemplo de que qualquer operador de trânsito online consegue ver o tráfego a circular, mas não o que lá vai dentro.

Censos agora mais vulneráveis a ataques?

João Pina explica-nos que sem a Cloudflare, além do site do INE para o Censos poder se tornar mais lento, também perde proteções contra ataques online.

"Perderam a WAF que bloqueia coisas como o SQL injection, XSS e muitos outros ataques e perderam a proteção anti DDoS". Apesar do INE poder contratar algo semelhante a outro prestador, eventualmente até algum menos experiente e nacional, "não sei se o fizeram em tão pouco tempo e nunca será ao preço que pagavam na Cloudflare, que consegue preços mais baixos e mais eficiência, incluindo em segurança", garante.

Finanças e eleições também espiados?

Outros sites relevantes do Estado também usam operadores norte-americanos para a base dos seus sites - para a tal rapidez e segurança base dos sites, daí que João Pina considerar a decisão da CNPD "um precedente muito errado" na era da internet onde para consultar qualquer coisa no telemóvel (Android ou iOS) ou num site seja de um governo ou de empresa é normal haver dados - nem que seja de simples IPs - a viajar pelo planeta.

O programador lembra que, por exemplo, o Portal das Finanças - onde milhões de portugueses colocam as suas declarações de IRS por esta altura - e o Portal das Eleições (www.eleicoes.mai.gov.pt) usam os serviços de CDN da americana Akamai - uma empresa mais pequena que a Cloudflare, que é a líder nesta área a nível mundial.

A Agência para a Modernização Administrativa, I.P. dá-se mesmo ao trabalho que indicar na sua política de privacidade onde explica todos os pormenores de privacidade e proteção de dados que pode usar Cloudflare para melhoria de desempenho dos sites.

João Pina deixa ainda uma provocação ao CNPD: "aguardo com calma e serenidade o despacho da CNPD para que sejam desligados estes CDNs [das Finanças e do Portal das Eleições] no prazo de 12h, principalmente porque estamos na época da entrega do IRS e ia ser interessante ver o desempenho deste portal [sem estes serviços]".

A polémica. Do Facebook para a CNPD

Uma publicação no Facebook indicava que a operação Censos 2021 seria uma "golpada/espionagem" avançado que a informação pessoal dos portugueses pelo site do INE estaria a ir para os EUA pela Cloudflare, que prestava serviço ao INE para o site.

O post estava repleto de informação falsa e enganadora a vários níveis, como revela o fact check do Observador que serve para auxiliar o Facebook a remover posts falsos, numa parceria internacional.

Entretanto, "após várias denúncias", a Comissão Nacional de Proteção de Dados (CNPD), que regula o Regulamento Geral de Proteção de Dados europeu no país, emitiu ontem uma deliberação onde "ordenou ao INE a suspensão do envio de dados dos Censos para os EUA", que indica que estaria a ser feito por ter recorrido aos serviços da americana Cloudflare. O INE suspendeu desde logo os serviços.

Ao Dinheiro Vivo o CTO da empresa americana, o inglês John Graham-Cumming, que vive em Lisboa desde que a gigante da internet abriu um centro tecnológico no país, em 2019, prefere dar mais esclarecimentos quando se conhecer melhor a situação. Ao Observador disse apenas que "não, não enviamos toda a informação para os EUA como é dito, não é algo que faça parte sequer do nosso negócio".

A CNPD indica que devido à lei americana, a Cloudflare poderia ceder informação dos Censos portugueses às autoridades dos EUA, algo contestado por completo por Graham-Cumming. Ainda assim, explica que mais do que os serviços da sua empresa nesta matéria de segurança, "tudo depende de como o INE configurou os serviços".

O responsável diz que estão disponíveis para esclarecimentos e alterações, mas seria preciso ver "os pormenores da situação em concreto". O que garante é que "qualquer ligação que façamos está encriptada entre o cliente e o servidor".

Entretanto, numa declaração oficial enviada ao Dinheiro Vivo a empresa procura mostrar que houve um equívoco da CNPD:

"A Cloudflare ajuda mais de 25 milhões de propriedades de internet a protegerem-se de ataques e garantir que têm sites fiáveis e rápidos. Fazer um censos online, especialmente durante uma pandemia, requer um site sempre disponível e seguro e fiável para os cidadãos partilharem a sua informação. A Cloudflare orgulha-se de desempenhar um papel importante em apoiar organizações, como nos censos, a cumprirem a sua missão

Para sermos claros, nunca houve transferência de dados para os EUA. A declaração da CNPD não reflete de forma correta o serviço que providenciamos. A Cloudflare nunca providenciou acesso a conteúdo que transita na nossa rede em resposta a um pedido de um governo. Se recebermos esse tipo de pedido, lutaremos em tribunal e iremos indicar publicamente algum tipo de informação que sejamos obrigados a fornecer por via de um warrant canary [uma declaração de interesses pública].

CNPD e a app Stayaway Covid

Já no final do verão do ano passado a CNPD tinha mostrado preocupações com empresas norte-americanas no caso da app Stayaway Covid. A app foi aprovada com "reservas". O problema nem era o sistema de códigos covid problemático, que viria a tornar o uso da app um flop, mas sim que se tenha usado o sistema que pertence à Apple e Google chamado GAEN (e prática na generalidade dos países europeus).

Na visão da entidade liderada por Filipa Calvão, as duas gigantes tecnológicas detêm o controlo do sistema e poderiam "mudar as regras do jogo a qualquer momento", mas o responsável do INESC TEC pela criação da app, Rui Oliveira, contrapôs na altura ao Dinheiro Vivo que isso acontece com tudo aquilo que se usa em smartphones Android e iOS (das americanas Google e Apple), que é na prática o mercado por completo.

Em outubro a CNPD levantou depois "graves questões relativas à privacidade dos cidadãos" se a app fosse obrigatória "por lhes tirar a possibilidade de escolher de não ceder o controlo da localização de movimentos a terceiras, sejam estas empresas multinacionais fora da jurisdição nacional ou do Estado".

(atualização às 21h23 com mais informação oficial da Cloudflare)

Mais Notícias

Outros Conteúdos GMG

Patrocinado

Apoio de