Eleições CGADB: um alerta importante!
Em meio aos problemas da eleição da CGADB um alerta preocupante veio ao meu conhecimento. Gostaria de repassar a quem interessar. Ressalto, de partida, que este post não defende quaisquer das candidaturas postas. Podemos seguir?
Embora as regras da eleição pressuponham que fosse fornecido um e-mail e senha válidos, que nunca devessem ser alterados, para que os inscritos pudessem receber a senha para a votação, em algumas convenções foram criados e-mails apenas para que o processo de inscrição fosse efetuado.
Com essas inscrições pontuais foram criadas senhas fáceis do tipo: número da CGADB, números sequenciais, etc. Uma vez divulgada a lista de inscritos as informações do número de inscrição nome e convenção se tornaram públicas. Isto está permitindo o acesso às inscrições de terceiros e até outras alterações, como e-mail e senha de acesso, bastando deduzir qual seria o sufixo do e-mail a partir do nome da Convenção. O que, em tese, pode resultar nos seguintes problemas:
1) O inscrito nunca receber a senha, uma vez que seu e-mail foi alterado por outra pessoa;
2) Uma pessoa votar em lugar de outra.
Eu mesmo acessei (exclusivamente para confirmar as suspeitas e pudesse ter segurança para fazer este alerta) os dados de outras pessoas. Como profissional da área de informática, desde 1991, fiquei preocupado, embora ressalte que a empresa promotora do certame não tenha culpa direta no processo de inscrição. A culpa é exclusiva dos que cadastraram seus inscritos, com as tais senhas fáceis de descobrir.
O máximo que a Scytl deveria fazer, seguindo as melhores práticas de desenvolvimento hoje em dia, seria bloquear senhas ou e-mails repetidos, senhas que contivessem datas de nascimento, inscrição da CGADB, etc. Afinal é uma empresa líder mundial no segmento conforme informado à época da divulgação do processo e em seu próprio site. Analisando por esse aspecto foi permitida uma grave e primária falha.
Cabe agora, a quem de direito, alterar rapidamente tais inscrições para minorar o problema. Eu sugiro, inclusive, que se altere o e-mail também. Inclusive, os próprios inscritos podem e devem fazer a alteração a partir de sua inscrição no site, se estão no rol de inscritos em bloco por suas convenções. Inscrições individuais não apresentam o problema, exceto se o e-mail e a senha são muito fáceis de deduzir.
Fica o alerta!
Ps: Para fazer a alteração, basta acessar a página da eleição neste link e logar com seu e-mail e senha. Se você não tem o e-mail ou senha indague às pessoas responsáveis em sua convenção.
Infelizmente o funcionamento do sistema, na área restrita ao ministro, é extremamente vulnerável, por exemplo, qualquer pessoa com o número do CPF e o número de inscrição na CGADB (isto é facílimo de se conseguir), tem acesso a senha cadastrada, seja ela qual for.