Lista de textos do jornal de hoje Navegue por editoria
Falha em site expôs dados de servidores públicos de SP
Cerca de 500 mil funcionários do Estado tiveram holerites abertos durante pelo menos dois meses e meio
Uma brecha de segurança no site da Secretaria da Fazenda deixou expostos os holerites --com dados como CPF, RG, endereço e contas bancárias-- de cerca de 500 mil servidores públicos por ao menos dois meses e meio.
O erro foi corrigido pelo órgão depois do contato da Folha, no último dia 16.
O analista de sistemas Carlos Eduardo Santiago foi o responsável pela descoberta do problema. Ele diz ter relatado a brecha por e-mail em abril e que seu contato foi ignorado. A secretaria, por sua vez, diz que não pôde encontrar a mensagem em questão.
Para acessar os dados privados de outra pessoa, era preciso usar número identificador e senha --dados que todo servidor ganha-- para mudar o chamado RS (registro no sistema), visível na barra de endereços do navegador.
O RS é publicado no Diário Oficial por algumas secretarias, se um servidor tira uma licença-prêmio, por exemplo. Contatadas, as secretarias da Fazenda e da Educação não especificaram em que casos o número é publicado. Um estelionatário poderia usar esse tipo de dado para aplicar um golpe, por exemplo.
A Secretaria da Fazenda reconheceu o problema e afirmou que fez "o ajuste necessário para eliminar qualquer possibilidade de acesso a informações de outro servidor pela barra de endereço".
O órgão não detalhou por quanto tempo pode ter existido a vulnerabilidade, mas disse que o sistema de consulta de folha de pagamento existe desde 2003.
Segundo o especialista em segurança computacional Diego Aranha, professor da Unicamp, um usuário com conta no sistema --que poderia ter sido capturada de maneira ilícita-- era "capaz de violar a privacidade de todos os servidores do Estado".
"O ataque também poderia ser automatizado, com um programa para explorar grande número de contas", diz.
Para o professor, a brecha era de fácil prevenção. "Bastaria restringir as informações ao usuário autenticado e restringir solicitações por contas distintas", diz.
Outras informações visíveis eram número de PIS/Pasep, cargo, local de trabalho, e bonificações. O salário dos servidores de São Paulo é uma informação aberta --diferentemente dos documentos e outros dados pessoais que constam na folha de pagamento-- e pode ser verificado por meio do site www.transparencia.sp.gov.br.