Os nossos dados pessoais circulam de forma segura pela Internet?

Todos devemos fazer-nos a pergunta que dá título a este post quando nos registramos ou fazemos login em qualquer das páginas que usamos diariamente.

É verdade que o uso do protocolo seguro HTTPS para o envio de informação encriptada através da Internet se expandiu nos últimos anos graças a normas que obrigam que obrigam à sua implementação (LSSI, LOPD, PCI DSS), assim como uma maior consciencialização dos responsáveis dos sites e dos usuários receosos de fornecer os seus dados se não houver uma garantia de privacidade e segurança. Mas, infelizmente, ainda falta percorrer um longo caminho até que possamos dizer que todos os sites de Internet implementam mecanismos para proteger os dados do usuário.

Analisamos alguns sites dos meios de comunicação mais populares em vários países para comprovar quais implementam o HTTPS nas páginas de login e registro. A seguinte tabela reflete as nossas conclusões, para termos uma idéia do grau de consciencialização da segurança.

Nota: Os nomes dos sites que não implementam o HTTPS foram ocultados para não danificar as suas imagens, já que não é esse o objetivo desta análise.

Observa-se que há países em que o uso de protocolos seguros para transmitir dados sensíveis está muito alargado e têm uma elevada percentagem de implementação: EUA, Reino Unido e Alemanha. Há outros em que o uso de protocolos seguros prima pela ausência: França, Portugal e Brasil. E no caso de Espanha, se não contarmos os sites da PRISA, o uso de protocolos seguros é quase inexistente nos sites selecionados para amostra.

Agora forneço uma série de “truques” para identificar se uma página protege os nossos dados quando circulam pela Internet. Tentarei não utilizar termos demasiado técnicos.

Para saber se uma página está a encriptar as comunicações com os nossos dados pessoais, podemos olhar para o URL (ligação que surge na parte superior do navegador) e se aparecer a sigla HTTPS, significa que a página está encriptada. Por exemplo, a página de registro em cincodias.com não deixa margem para dúvidas: aparece https://seguro.cincodias.com:

Há outros casos em que no URL não surge HTTPS e não é claro se o acesso é seguro ou não. Então, para tirar as dúvidas, podemos comprovar se os dados são encriptados (usando https) ou não. Para isso podemos usar uma simples aplicação do Firefox chamada TamperData, que é um add-on do navegador que nos informa dos pedidos feitos pelo mesmo. Tomemos por exemplo o registro em www.as.com:

Como não aparece HTTPS,  vamos executar o TamperData para simular um registro e verificar se os dados são realmente enviados com um protocolo seguro ou se, pelo contrário, isso é feito através de um HTTP básico. Introduzimos dados de teste, iniciamos o registro e procuramos na janela do TamperData o envio dos dados de registro (normalmente é um envio através do método POST). Se são enviados para um URL com HTTP significa que esse envio é inseguro, mas ser forem enviados para um endereço com HTTPS, o envio é seguro.

Continuando no exemplo do AS vemos que os dados são enviados para https://seguro.as.com  o que quer dizer que o envio é realizado de forma correta.

Os dados enviados pela Internet de forma insegura (sem HTTPS) são muito mais fáceis de interceptar por um hacker que esteja bem posicionado na rede, e como tal temos de ser conscientes de como são enviados os nossos dados. É um bom hábito comprovar se os sites cuidam da privacidade e podemos exigir esse direito, que em Espanha está regulado e é de cumprimento obrigatório.

Miguel Ángel Torres

Responsável de Segurança Lógica

PRISA Digital

Comments are closed.

MENU
Leer entrada anterior
El ebook reinventa los folletines por entregas

Tal era a curiosidade que despertavam os folhetins por entregas nos jornais do século XIX que os leitores americanos de...

Cerrar