Falha em site expôs dados de servidores públicos de SP

Cerca de 500 mil funcionários do Estado tiveram holerites abertos durante pelo menos dois meses e meio

DE SÃO PAULO

Uma brecha de segurança no site da Secretaria da Fazenda deixou expostos os holerites –com dados como CPF, RG, endereço e contas bancárias– de cerca de 500 mil servidores públicos por ao menos dois meses e meio.

O erro foi corrigido pelo órgão depois do contato da Folha, no último dia 16.

O analista de sistemas Carlos Eduardo Santiago foi o responsável pela descoberta do problema. Ele diz ter relatado a brecha por e-mail em abril e que seu contato foi ignorado. A secretaria, por sua vez, diz que não pôde encontrar a mensagem em questão.

Para acessar os dados privados de outra pessoa, era preciso usar número identificador e senha –dados que todo servidor ganha– para mudar o chamado RS (registro no sistema), visível na barra de endereços do navegador.

O RS é publicado no Diário Oficial por algumas secretarias, se um servidor tira uma licença-prêmio, por exemplo. Contatadas, as secretarias da Fazenda e da Educação não especificaram em que casos o número é publicado. Um estelionatário poderia usar esse tipo de dado para aplicar um golpe, por exemplo.

A Secretaria da Fazenda reconheceu o problema e afirmou que fez “o ajuste necessário para eliminar qualquer possibilidade de acesso a informações de outro servidor pela barra de endereço”.

O órgão não detalhou por quanto tempo pode ter existido a vulnerabilidade, mas disse que o sistema de consulta de folha de pagamento existe desde 2003.

Segundo o especialista em segurança computacional Diego Aranha, professor da Unicamp, um usuário com conta no sistema –que poderia ter sido capturada de maneira ilícita– era “capaz de violar a privacidade de todos os servidores do Estado”.

“O ataque também poderia ser automatizado, com um programa para explorar grande número de contas”, diz.

Para o professor, a brecha era de fácil prevenção. “Bastaria restringir as informações ao usuário autenticado e restringir solicitações por contas distintas”, diz.

Outras informações visíveis eram número de PIS/Pasep, cargo, local de trabalho, e bonificações. O salário dos servidores de São Paulo é uma informação aberta –diferentemente dos documentos e outros dados pessoais que constam na folha de pagamento– e pode ser verificado por meio do site www.transparencia.sp.gov.br.

Folha de S. Paulo