A estrutura do ‘Compras Net’, a plataforma de compras do Governo Federal, tem fragilidades que permitem a visualização de dados de empresários e de outras pessoas envolvidas em processos de venda de produtos e serviços ao governo. O problema foi informado ontem ao CISO Advisor pelo empresário carioca Marcelo Branquinho, CEO da empresa de segurança de infraestrutura crítica TI Safe. O CISO Advisor aguarda manifestação do MInistério da Economia sobre o assunto.
Veja isso
Grupo Conti ameaça sistemas do governo da Costa Rica
Itália registra DDoS russo em sites do governo
Branquinho enviou na tarde de hoje ao CISO Advisor um vídeo mostrando a exposição dos dados, incluindo os dele próprio. “Eu fiquei bastante indignado com isso, e acho que é preciso resolver o problema”, disse o executivo. Segundo ele, é possível a qualquer pessoa ver todos os documentos enviados pelos participantes de concorrências e processos de compra do governo, mesmo sem estar logada no sistema. A pedido da redação, o especialista em segurança cibernética André Barreto, da empresa Netsensor, analisou a falha exibida pelo ComprasNet.
A falha se encontra na área de “Consulta Detalhada”, dentro de “Pregões Abertos para Lances”. No vídeo, Branquinho mostra uma consulta por meio de um formulário intitulado “Acompanhamento do Pregão”. Ali ele selecionou a situação “Julgamento/Habilitação”, acrescentou o número da licitação na qual estava interessado (um código chamado UASG) e o número do pregão. Depois de clicar no botão “OK”, a tela exibe uma linha com os principais dados da licitação.
Ao se clicar na linha, é pedida uma confirmação e abre-se nova tela onde existe a opção “Realizar Julgamento”. Ela exibe uma lista de todas as empresas que participaram e links para todos os documentos apresentados, incluindo os documentos pessoais dos sócios, por exemplo. “Existem ali documentos como CNHs muito bem digitalizadas. Alguém pode copiar um documento desses para dar um golpe”, alerta o empresário.
