fundo parallax

Cartões hackeados: diga-me por onde andas e te direi muito sobre você

 

Apuração e texto Vladimir Garay
Vladimir Garay é jornalista e diretor de incidência na Derechos Digitales


Uma falha de segurança no site da Tarjeta Nacional Estudantil (cartão de transportes) permitia que qualquer pessoa com tempo, vontade e paciência tivesse acesso a toda a informação armazenada no sistema durante os últimos três meses. Bastava saber o nome e ter acesso à internet. A análise desses dados revela muito sobre os donos dos cartões: os lugares que frequenta, suas rotas diárias e mais.

 

Estamos na sede da Federação de Estudantes da Universidade do Chile, conversando com a presidente, Camila Rojas. E apesar de termos acabado de nos conhecer, sabemos muito sobre ela. Particularmente sobre o modo como se desloca pela cidade.

- Esta é a linha de ônibus que você usa pra chegar à sua casa. Você ficou aqui até tarde da noite e tem $1880 no seu cartão BIP!

Com a ajuda do Google e umas poucas linhas de código, temos acesso à informação que o sistema de transporte recolheu sobre Camila durante os últimos três meses: as linhas de ônibus que usa, as estações de metrô que frequenta, os horários de suas viagens e a quantia de dinheiro que têm em se cartão BIP, usado em Santiago para pagar o transporte público.

Precisamos de mais ou menos cinco minutos para conseguir a informação e, com um pouco mais de tempo para analisá-la, tínhamos muito o que contar à Camila sobre sua própria vida. Quando pergunto o que sente ao escutar dois estranhos recitando suas informações pessoais, ela responde: “alta vulnerabilidade”.

- É chegar ao ponto de roubar as coisas do nosso cotidiano. Para qualquer um é grave que venha outra pessoa e tenha seus dados, assim, tão fácil.

 

BIP!

Em uso desde 2005, o cartão BIP! Como forma de pagamento é uma das principais transformações que o sistema de transporte público teve com a vigência do Transantiago, o plano polêmico que prometia revolucionar o modo como os habitantes da capital chilena se deslocavam pela cidade e que rendeu muitas dores d cabeça e maus momentos tanto aos usuários quanto à presidenta Michelle Bachelet, encarregada de implementar o plano durante seu primeiro mandato.

E ainda que as críticas ao sistema sejam várias, o cartão BIP! Parece ter sido adotado pelas pessoas de Santiago de uma boa maneira. Além de possibilitar a integração dos transportes – onde o valor de uma passagem permite realizar uma viagem de metrô e pegar até dois ônibus em um intervalo de duas horas – a mudança na forma de pagamento também ajudou a tornar os motoristas menos suscetíveis a assaltos, já que não carregam todo o valor das passagens em dinheiro.

O cartão também beneficia os estudantes, que já não precisam ser questionados e humilhados pelos motoristas para pagar a tarifa com desconto, alo comum no sistema anterior. Basta encostar o cartão no leitor e o sistema automaticamente realiza o desconto. Trata-se de um cartão BIP! Especial, de uso pessoa, conhecido como TNE: Tarjeta Nacional Estudantil, ou Cartão Nacional Estudantil.

Com a implementação dos cartões, surgiu também a possibilidade de solicitar imensos volumes de informação sobre o modo como o sistema de transportes é utilizado. A análise desses dados permitia descobrir tendências e solucionar problemas de frequência, trajeto e localização, entre outros.

Parte desta informação é acessível online: com um cartão BIP! Normal, basta digitar o número do cartão para ver cada um de seus movimentos. Dado que não há maneira de ligar um cartão a um usuário, os dados se mantêm anônimos (a não ser que alguém tenha acesso físico ao cartão ou que saiba o número e tenha certeza de que este cartão pertence a determinada pessoa, o que também não oferece muitas dificuldades para, por exemplo, um namorado ciumento).

Mas não funciona assim no caso do Cartão Nacional Estudantil que, por ser nominal, liga automaticamente os dados a uma identidade facilmente rastreável: cada cartão está associado a um número identificador único, conhecido no Chile como RUT. Com acesso aos dois números, qualquer um pode acessar o histórico do cartão.

Foi assim que acessamos os dados de Camila Rojas. E, se nós podemos, qualquer um pode.

 

Cartão perdido

Como muitas histórias contemporâneas, esta começou com alguém reclamando na internet: ­ – Uma conhecida estava se queixando em uma rede social de que foi buscar seu cartão na universidade e não estava lá. Ela temia que um terceiro houvesse retirado e estivesse usando o cartão.

Disposto a ajudar, Pedro Aste explicou que bastava usar seu número RUT para consultar a situação do cartão. Com essa informação, a conhecida acessou o portal web e viu que o cartão não havia sido entregue e que ninguém o estava utilizando.

Mas havia mais: ao digitar seu RUT, o sistema revelada seis dos oito dígitos que compõem o número do Cartão Nacional Estudantil. Adivinhar os números que faltavam era tudo o que alguém precisava para ver o histórico do cartão. Com apenas 100 combinações possíveis, não era difícil fazê-lo manualmente. Mas, por ser estudante de Engenharia da Computação, Pedro escreveu um programinha para automatizar a busca. Em 15 segundos, esgotou as possibilidades e conseguiu o número. Foi então que decidiu entrar em contato com a Derechos Digitales.

 

Proteção de dados no Chile

Os especialistas concordam: a proteção de dados pessoais no Chile é deplorável. Criada em 1999, com a intenção de proteger mais as empresas que tratam dados do que os titulares dessa informação, a lei 19.628 não se ajusta a padrões internacionais, não têm institucionalidade sólida e, na prática, é incapaz de perseguir e castigar os abusos. Em geral, deixa as pessoas indefesas.

Além disso, a lei não é capaz de enfrentar os desafios que a massificação da internet e as tecnologias digitais impõem, o que, somado a sérias deficiências das práticas e da construção de políticas públicas, fazem do Chile um lugar onde vale tudo na hora de compilar, vender e roubar bases de dados.

O escândalo mais recente neste aspecto é do Ministério da Saúde. Informações sobre pacientes com HIV, mulheres que pediram pílulas contraceptivas e pessoas com condições mentais foram disponibilizadas na plataforma do Ministério associadas a nome, número RUT e endereço. E, apesar de terem sido alertados, passaram mais de dez meses até que fizessem algo a respeito.

Esse não é o único caso. Em 2014, a base de dados completa do Registro Civil foi copiada e roubada, incluindo informações sobre cédulas de identidade e passaportes de todos os chilenos. Os responsáveis nunca foram encontrados. Em 2012, era possível encontrar o endereço de quase todo maior de idade no Chile. Bastava colocar seu nome no site do Registro Eleitoral.

Esses são alguns exemplos que ilustram a escassa preocupação das autoridades com a proteção da informação pessoal na hora de criar uma política pública. É esse descuido que permitiu o surgimento de serviços web que permitem a busca do RUT de qualquer cidadão online inserindo seu nome. Foi assim que encontramos o RUT de Camila Rojas e, com esse dado, conseguir as informações sobre seus dados de transporte era questão de tempo.

 

O grande problema

Por que é tão grave que a informação sobre os estudantes de Santiago recolhidas pelo sistema de transportes esteja disponível online para qualquer pessoa? Porque não sabemos quais as intenções de quem procura essa informação. Como costuma acontecer nesses casos, o grande problema não está somente no acesso aos dados, mas no que pode ser inferido a partir deles: dado que as rotas de transporte costumam ser constantes, com três meses de informação à disposição não é muito complicado descobrir onde alguém mora, estuda e mais ou menos o horário em que essa pessoa pode ser encontrada nesses lugares. Essa informação poderia ser muito útil para empresas que desejem criar perfis de produtos para público específicos, como os estudantes universitários de cursos lucrativos, mas também para um psicopata, assediador ou estuprador.

 

O que aconteceria se fosse a polícia acessando a informação dos estudantes?

Durante os últimos dez anos, os estudantes se transformaram em uma das principais forças políticas no Chile, com momentos críticos em 2006 e 2011. Em um país com uma cultura democrática muito mais frágil do que gosta de admitir, quem participa de manifestações públicas está exposto à repressão policial. Recentemente, um informe do Colégio Médico relatou 101 casos de tortura pelas mãos da polícia, muitas delas contra estudantes maiores e menores de idade.

Em várias ocasiões, os estudantes detidos pela polícia mencionaram que foram obrigados a dar suas senhas de redes sociais e que copiavam seus contatos telefônicos. Em algum momento, os mesmos policiais mencionaram estar construindo um “padrão digital”, sem dar mais esclarecimentos do que isso significa ou com quem fim estava sendo feito.

– Entre os líderes estudantis, temos uma suspeita fundada de que nossos telefones estejam grampeados e de que eles possuem muitas informações sobre nós, principalmente se é tão fácil acessá-las. Mas acredito que, em geral, não haja tanta consciência sobre esses assuntos entre os estudantes. Não se saiba muito, explica Rojas.

Com esses antecedentes, não é raro pensar que poderia haver um interesse da polícia em usar a informação para monitorar os movimentos de quem tenha exercitado seu legítimo direito de se manifestar nas ruas.

 

A solução

A falta de proteção dos dados armazenados no site da TNE é uma falha, não uma característica. O sistema não foi criado pensando em dar a alguém uma via rápida de acesso à informação pessoal, mas é produto de uma cadeia de decisões falhas em relação à proteção de dados pessoais, porque esta não é uma preocupação central na hora de criar políticas públicas e nem os sites de acesso a esses serviços. Mas isso não significa que não seja um problema grave e que permite o pior uso possível dessas informações.

Com isso em mente, fomos até o Ministério dos Transportes para expor a situação e, hoje, o problema já está resolvido. Esperamos que, a partir desta situação, tenhamos dado um primeiro passo em direção à uma mudança institucional, onde a proteção de dados pessoais seja parte essencial das futuras políticas do Ministério dos Transportes e do Ministério da Educação.

Documentos consultados

DOCUMENTOS CONSULTADOS

La recolección de datos en el sistema de transporte público de Santiago: El caso de la Tarjeta Nacional Estudantil (PDF)

FERRAMENTAS UTILIZADAS