Contas de brasileiros no Portal e-CAC, da Receita Federal, sofrem de supostos acessos não-autorizados desde a última sexta-feira (19). Por meio de relatos diversos coletados pelo site TecMundo, a maior parte dos protocolos de rede (IP) registrados nos acessos é proveniente dos Estados Unidos.
O problema chega em meio à liberação da primeira restituição do Imposto de Renda, que também já sofre com relatos de dificuldades técnicas na consulta online sobre valores a receber. O e-CAC é ponto de contato digital da Receita Federal com a população brasileira.
Ainda não é possível quantificar quantas contas sofreram os supostos acessos não-autorizados. Todos os relatos indicam o mesmo modus operandi: mesmo com troca de senha, segundo fator de autenticação ativado e boas práticas seguidas, diariamente o sistema da Receita Federal envia alertas de novos dispositivos registrados para os cidadãos — dispositivos, estes, de terceiros.
e-CAC guarda dados sensíveis
O acesso não-autorizado em contas é perigoso: por baixo, ele oferece informações cruciais da vida digital de seu usuário oficial. No e-CAC, por exemplo, é possível acessar nome completo, endereço de email, número telefônico, endereço residencial, foto, CPF, RG, CNH, CDI e certidões.
Com essas informações completas em mãos, cibercriminosos podem desenvolver golpes que vão do phishing direcionado (mensagens falsas cunhadas especificamente para um alvo) até a abertura de contas. A alteração dos dados no governo também é uma possibilidade, uma vez dentro do sistema.
O TecMundo entrou em contato com a assessoria de imprensa da Receita Federal. Sem detalhar os motivos para que dezenas de acessos provenientes dos Estados Unidos tenham supostamente acontecido em contas, a RFB enviou o seguinte comunicado:
"A conta GOV.BR dispõe de uma funcionalidade de dupla verificação, que visa aumentar a segurança dos usuários. Dessa forma, cada dispositivo que acessa a conta GOV.BR é identificado e o usuário recebe uma notificação em seu e-mail cadastrado. Se o cidadão tiver delegado o acesso a um terceiro (contador, advogado, despachante etc.) para acesso a determinados serviços, compartilhando o seu certificado digital, pode ter recebido esses e-mails. Ressaltamos que os acessos com certificado digital, QRcode (sem senha) ou com a verificação em duas etapas ativa são automaticamente autorizados pela natureza segura desses acessos. O usuário GOV.BR poderá habilitar o acesso à conta apenas por dispositivos por ele autorizados, a qualquer momento, no aplicativo gov.br".
Fonte: TecMundo