Falhas nos sistemas do GDF expõem dados de servidores públicos

Segundo denúncia, vulnerabilidade permite vazamento de informações. Governo abriu investigação para apurar o caso e deixou página off-line

atualizado 21/02/2020 11:22

Gui Primola / Metrópoles

Informações pessoais e sigilosas dos servidores públicos do Distrito Federal estão caindo nas mãos de hackers e golpistas. A partir de falha no sistema de Recursos Humanos do Governo do DF (GDF), criminosos virtuais conseguem acesso à página de recadastramento dos trabalhadores.

Segundo sindicatos, estelionatários conseguem mapear o histórico dos trabalhadores explorando supostas brechas nos programas.

Um dos ataques ocorreu contra o servidor Alison Ricardo da Silva, 36 anos. Os bandidos transferiram a conta-salário dele para o Banco do Brasil (BB). De posse de informações sigilosas do trabalhador, sacaram grande empréstimo. Os dados estavam guardados na rede do GDF. Especialista em Tecnologia da Informação (TI), Alison conseguiu descobrir a fonte do vazamento na rede do governo: a GDFNet.

O  vazamento de dados sigilosos também ameaça os servidores públicos federais. O Metrópoles noticiou o caso em primeira mão, na reportagem de Guilherme Waltenberg e Raphael Veleda, na reportagem: Dados sigilosos: programa do governo federal expõe até agentes secretos.

Segundo Alison, no caso do DF, a falha estava presente no Portal do Servidor, no acesso ao Sistema Único de Gestão de Recursos Humanos. Ele é usado, por exemplo, para a consulta de contracheque. De posse do Cadastro de Pessoa Física (CPF) e da data de nascimento do servidor, o hacker consegue emitir nova senha de acesso, enviada para qualquer e-mail.

“Solicitei os logs de acesso e verifiquei que a senha tinha sido enviada para outro e-mail”, contou. A página de RH possui as mesmas informações divulgadas no Portal da Transparência.

De acordo com Alison, com a mesma senha, o hacker tem janelas abertas para a página de recadastramento dos servidores. O endereço digital guarda informações pessoais e sigilosas dos trabalhadores.

Alerta

“Como o sistema de recadastramento utiliza a mesma senha, era possível baixar todos os documentos que o servidor utilizou para atualizar os os dados”, alertou. Após o flagrante digital, Alison testou novamente a vulnerabilidade para o vazamento dos dados particulares dos servidores. E, de novo, os dados foram expostos.

Na sequência, denunciou o caso para a Subsecretaria de Tecnologia da Informação e Comunicação (Sutic), subordinada à Secretaria de Economia. Para Alison, a vulnerabilidade precisa ser corrigida o quanto antes, especialmente pelo fato de o GDF estar recadastrando servidores.

O servidor prestou queixa do caso na 19ª Delegacia de Polícia (P Norte), no Banco Central e no BB. Para Alisson, a vulnerabilidade no sistema do Banco do Brasil também é preocupante.

“A pessoa não precisa comparecer ao banco nem de ter cópia dos documentos. É tudo digital. Quem fez a portabilidade da minha conta tem um perfil completamente diferente de mim. Abriu a conta digital, transformou em conta física. Não teve verificação nenhuma. É muito frágil. Eu nunca tive conta no Banco do Brasil”, desabafou.

“Minha vida toda está nas mãos dele”

A servidora da história a seguir pediu para ter o nome mantido em sigilo. Recentemente, ela foi surpreendida por um telefonema em pleno horário de trabalho. Um senhor se identificando como advogado do Sindicato de Empregados em Estabelecimentos de Saúde do DF (SindSaúde-DF) falou que ela receberia R$ 85 mil referentes a um processo de cobrança de horas extras. Entretanto, exigia o pagamento dos serviços.

“Eu tenho essa ação. E o valor batia. Ele sabia de todos meus dados no GDF. Sabia que tenho outras causas, até mesmo um precatório. São informações que deveriam ficar no governo. Ou ele hackeou ou alguém passou para ele. Isso me assustou. Minha vida toda está nas mãos dele” desabafou.

O golpista apresentou um telefone fixo falso. “Um colega ligou e atenderem dizendo ser do SindSaúde”, contou. O estelionatário pediu pagamento de R$ 2.480 para liberar a causa. O valor deixou a servidora desconfiada. “E todo mundo sabe que o GDF não está em condições de ligar para ninguém”, completou.

Por sorte, a servidora conhece os diretores do sindicato. Após uma ligação, teve certeza da tentativa de golpe.

“Acho que é um alerta. Nunca pensei que a vida dos servidores fosse tão vulnerável”, lamentou a servidora. Com o sindicato, ela prestou queixa na Polícia Civil. Segundo a presidente do SindSaúde, Marli Rodrigues, trabalhadores denunciam vazamentos de dados sigilosos diariamente. Grande parte das vítimas são aposentados.

“Sinceramente, não sei se a falha é do sistema do GDF, mas as informações são extraídas mesmo de lá”, assinalou Marli. Para a dirigente, os estelionatários monitoram de perto dos servidores. “Essas pessoas são cínicas. São bandidos. E pior, são pessoas do nosso meio”, disparou.

“Ninguém nunca quis debater a melhoria da segurança das redes do GDF conosco. Tentamos em todos os governos, mas nunca encontramos uma porta aberta para discutir esse assunto e achar um caminho seguro”, afirmou.

Igo Estrela/Metrópoles
Segundo denúncia de servidor, hackers conseguem acesso a dados pessoais de servidores no recadastramento a partir de vulnerabilidade na GDFNet
Obsoleto

Para o presidente do Sindicato dos Servidores Públicos Civis da Administração Direta, Autarquias, Fundações e Tribunal de Contas do DF (Sindireta-DF), Ibrahim Yusef, a GDFNet e os demais sistemas do GDF estão “obsoletos” no quesito segurança. A entidade sindical também recebe denúncias frequentes de vazamentos de dados pessoais de trabalhadores.

Contas invadidas, dados vazados para empresas de telemarketing e correspondência direta são exemplos dos problemas enfrentados. “Eu mesmo fui alvo. Lá no Rio de Janeiro, abriram uma conta telefônica e um contrato de TV fechada em meu nome. Até hoje não está resolvido. Meu nome, CPF, tudo está na mão desses bandidos. Corri o risco de ir para o Serasa”, relatou.

O golpe foi descoberto em novembro de 2019. “Suspeito que pegaram meus dados no GDF. Como todo servidor, coloco minha vida toda lá. Há fortes indícios”, ponderou. Segundo Yusef, as categorias solicitam investimentos para reforçar os sistemas do governo e a criação da carreira da TI para solucionar vulnerabilidades, prevenir e rebater ataques cibernéticos com maior velocidade.

Nesse contexto, Ibrahim Yusef e Marli Rodrigues compartilham críticas ao Portal da Transparência. Para dirigente do SindSaúde, as informações dos servidores estão expostas de maneira exagerada. Segundo o presidente do Sindireta, a pesquisa deveria permitir o rastreamento de quem tem acesso aos dados. “Há pessoas de boa índole e há pessoas que querem o mal. E a gente foca nesse tiroteio”, concluiu.

Caso em investigação

O GDF abriu investigação interna para apurar a denúncia feita por Alison. Por enquanto, a Sutic trata o caso como possível vulnerabilidade em um dos módulos do Sistema de Gestão de Pessoas. De qualquer forma, a página local do suposto ataque foi colocada off-line para a análise e eventual solução, caso seja confirmado o problema.

“As equipes de Segurança e Desenvolvimento da Sutic estão atuando na análise do incidente, em conjunto com a Subsecretaria de Gestão de Pessoas, e adotarão todas as correções e melhorias necessárias para solução do possível problema”, ressaltou o GDF, em nota enviada ao Metrópoles.

Se as evidências forem confirmadas, o caso será encaminhado para investigação das autoridades policiais. Por hora, o governo não registrou casos semelhantes ao de Alison.

O GDF reafirma que as redes governamentais são seguras e têm condições de guardar os dados dos servidores. “Os sistemas corporativos do governo, bem como o CeTIC-DF (Datacenter corporativo do GDF), adotam as melhores práticas de gestão e segurança da informação e recebem manutenções e investimentos constantes para garantir a disponibilidade, segurança e qualidade dos serviços de governo”, afirmou.

Já o Portal da Transparência do Distrito Federal alertou que não publica dados pessoais de servidores públicos. “As únicas informações disponíveis são o nome do servidor, órgão de lotação, cargo e remuneração. Até o CPF é mascarado, ou seja, traz apenas alguns números para não ser identificado. Portanto, não são as mesmas informações do SIGRH (Sistema de Gestão de Recursos Humanos)”, disse o órgão em nota.

Ressarcimento

Por outro lado, o Banco do Brasil enviou nota à reportagem: “Casos como o tratado na matéria, quando identificados ou reclamados, são prontamente submetidos à avaliação de equipe de especialistas. O Banco do Brasil já providenciou o ressarcimento dos recursos subtraídos do cliente”.

Nesse contexto, o BB afirmou que trabalha com processos sistematizados para identificação de indícios de fraude, tendo como referências as práticas mais modernas e eficientes da indústria bancária.

“O Banco monitora de perto processos de abertura de conta e investe em soluções de segurança para reduzir os riscos de eventuais fraudes. O BB utiliza, inclusive, recursos de inteligência artificial que aumentam a segurança dos sistemas e processos, com redução significativa da incidência desse tipo de evento”, enfatizou a instituição.

 

Últimas notícias