O novo website de vistos electrónicos da Somália carece de protocolos de segurança adequados, que poderiam ser explorados por actores nefastos que queiram descarregar milhares de vistos electrónicos contendo informações sensíveis, incluindo detalhes de passaportes, nomes completos e datas de nascimento de indivíduos.
A Al Jazeera confirmou a vulnerabilidade do sistema esta semana, seguindo uma dica de uma fonte com experiência em desenvolvimento web.
Histórias recomendadas
lista de 3 itensfim da lista
A fonte forneceu à Al Jazeera informações sobre os dados em risco, bem como provas de que tinham levado as suas preocupações às autoridades somalis na semana passada para as alertar para a vulnerabilidade.
A fonte disse que apesar dos esforços, não houve resposta das autoridades e o problema não foi resolvido.
“As violações que envolvem dados pessoais sensíveis são particularmente perigosas, pois colocam as pessoas em risco de vários danos, incluindo roubo de identidade, fraude e recolha de informações por agentes maliciosos”, disse Bridget Andere, analista política sénior do grupo de direitos digitais Access Now, à Al Jazeera.
Esta nova falha de segurança surge um mês depois de as autoridades terem dito que lançaram um inquérito depois de hackers violarem a plataforma de vistos eletrónicos do país.
Esta semana, a Al Jazeera conseguiu replicar a vulnerabilidade identificada pela nossa fonte.
Conseguimos baixar vistos eletrônicos contendo informações confidenciais de dezenas de pessoas em pouco tempo. Isto incluía dados pessoais de pessoas da Somália, Portugal, Suécia, Estados Unidos e Suíça.
A Al Jazeera enviou perguntas ao governo somali e alertou-o sobre a falha do sistema, mas não recebeu resposta.
“A pressão do governo para implantar o sistema de visto eletrônico, apesar de estar claramente despreparado para riscos potenciais, e então reimplantá-lo após uma grave violação de dados, é um exemplo claro de como o desrespeito pelas preocupações e direitos das pessoas ao introduzir infraestruturas digitais pode minar a confiança pública e criar vulnerabilidades evitáveis”, disse Andere.
“Também é alarmante que as autoridades somalis não tenham emitido qualquer notificação formal sobre esta grave violação de dados (em novembro).
“Em tais situações, a lei de protecção de dados da Somália obriga os responsáveis pelo tratamento de dados a notificar a autoridade de protecção de dados e, em contextos de alto risco, como neste incidente, a notificar também os indivíduos afectados”, acrescentou Andere.
“Proteções extras devem ser aplicadas neste caso porque envolve pessoas de diferentes nacionalidades e, portanto, múltiplas jurisdições legais.”
A Al Jazeera não pode revelar detalhes técnicos sobre a violação porque a vulnerabilidade ainda não foi corrigida, portanto, publicá-la poderia fornecer aos hackers informações suficientes para replicar o vazamento.
Qualquer informação sensível obtida pela Al Jazeera como parte desta investigação foi destruída para garantir a privacidade das pessoas afetadas.
Violação anterior
No mês passado, os governos dos EUA e do Reino Unido enviaram um alerta sobre uma violação de dados que vazou informações de mais de 35 mil pessoas que solicitaram um visto eletrônico para a Somália.
“Os dados vazados da violação incluíam nomes, fotos, datas e locais de nascimento dos solicitantes de visto, endereços de e-mail, estado civil e endereços residenciais”, disse na época a Embaixada dos EUA na Somália.
Em resposta a essa violação de dados, a Agência de Imigração e Cidadania da Somália (ICA) mudou o seu website de vistos eletrónicos para um novo domínio, numa tentativa de aumentar a segurança.
A agência de imigração disse em 16 de novembro que estava tratando o assunto com “especial importância” e anunciou que havia iniciado uma investigação sobre o assunto.
No início daquela semana, o ministro da Defesa da Somália, Ahmed Moalim Fiqi, elogiou o sistema de visto eletrônico, alegando que ele impediu com sucesso que combatentes do ISIL (ISIS) entrassem no país, enquanto uma batalha de meses continuava nas regiões do norte contra uma afiliada local do grupo.
Andere, da Access Now, destacou que os governos muitas vezes se apressam em implementar sistemas de visto eletrônico, o que frequentemente leva a situações de insegurança.
Ela acrescentou que é difícil para as pessoas se protegerem contra esse tipo de violação de dados.
“Considerações sobre proteção de dados e segurança cibernética são muitas vezes as primeiras a serem desconsideradas”, disse ela. “É difícil transferir o fardo para as pessoas porque os dados que elas fornecem são necessários para um processo específico.”
