Página foi desenvolvida por empresa contratada por meio de licitação, no valor de R$ 243 mil. Para especialistas em segurança da informação, site é inseguro e preço não condiz com a limitação da plataforma. Site que presta serviço para a Prefeitura de Sorocaba (SP) apresenta vulnerabilidade, de acordo com especialistas ouvidos pelo g1
Reprodução
Um site de uma empresa contratada pela Prefeitura de Sorocaba (SP) para informatizar o agendamento de serviços veterinários municipais virou alvo de críticas de especialistas em tecnologia da informação. Profissionais consultados pelo g1 identificaram problemas de segurança e navegabilidade na plataforma, adquirida por meio de licitação, que também envolve outros serviços, no valor R$ 243 mil, por 24 meses.
📱 Participe do canal do g1 Sorocaba e Jundiaí no WhatsApp
O serviço faz parte de um lote para a contratação de serviços para o bem-estar animal. Conforme a licitação, a empresa deverá fornecer atendimento ao público, que inclui orientação, registro de denúncias, agendamento de castração e vacinação, pedido de adoção, serviços veterinários, entre outros.
Os problemas aparecem logo após acessar o site: há um aviso na barra de endereço sobre certificados de segurança. Inclusive, aparece a mensagem de que o site não é seguro e que não é recomendável fornecer informações confidências.
O endereço do site, inclusive, não conta com o prefixo https, uma camada virtual de segurança que permite a transmissão de informações de forma segura e criptografada.
Site feito por empresa contratada pela Prefeitura de Sorocaba (SP) apresenta risco aos usuários
Reprodução
A pedido do g1, dois especialistas em segurança da informação analisaram a plataforma e apontaram que o site contratado pela Prefeitura de Sorocaba não é seguro.
Há riscos sim, pois a conexão não é segura. A conexão não ser segura significa que estes dados podem ser capturados por alguém que entenda um pouco sobre desenvolvimento de websites, afirma Renato Franchi, professor do Instituto Federal de São Paulo (IFSP) Itapetininga.
De acordo com ele, o site é uma parte de outro site, que faz a venda de ingressos. É um site que você pode contratar para administrar venda de ingressos de seu evento, por exemplo.
O código-fonte do site, que é a programação que o faz funcionar, está visível para qualquer pessoa. Alguém com conhecimento mais avançado em programação e banco de dados, poderia usar este código-fonte para acessar os dados [de cidadãos] lá cadastrados, acrescenta Renato.
O especialista também faz um alerta. No final, não é um site profissional, considerando os erros de segurança que ele tem. Não é recomendável usar o site para preencher seus dados pessoais, pois os mesmos não estarão seguros.
Camada de segurança
A reportagem ouviu também um especialista de Sorocaba sobre o tema. Ele, que prefere não se identificar, disse que a denúncia recebida pelo g1 com relação a possíveis problemas com a segurança de quem acessa faz todo sentido.
O certificado que você coloca o HTTPS no site, isso, hoje, é regra. A empresa não poderia ter deixado sem. O que acontece quando você não tem o HTTPS é que tudo que você coloca, digita e manda pro site, entre a máquina do usuário e o servidor aonde está hospedado o site, os dados são abertos. Então, quando eu digito usuário, quando eu digito senha, quando eu digito meus dados pessoais, ele está aberto na internet. Todo mundo está vendo? Não! Eu preciso usar essa ferramenta, eu preciso querer ver isso, mas está aberto. Por exemplo: se eu interceptar essa comunicação, eu consigo ver isso, consigo ver tudo, alerta.
Então, até por uma questão de política de segurança e boas práticas, você pode ver que hoje nenhum site é aberto. Realmente, essa denúncia do usuário faz sentido. Quando você coloca as informações, você está com um risco muito maior. Existem robôs que podem ficar buscando esse tipo de coisa. Então, tecnicamente não é difícil, continua.
Mais do que bem pago
O contrato, no valor de R$ 243 mil, foi assinado em março de 2023 e o site, lançado em 28 de fevereiro deste ano. Para o especialista em tecnologia, o preço não condiz com o sistema desenvolvido.
Esse valor está mais do que bem pago fazer um site bem feito, com todas as informações que você colocou que não tem e colocar a certificação. Não há desculpa de querer dizer que o certificado é caro porque é só você colocar o gratuito.
Problemas de navegabilidade
Há ainda outros problemas com o site. Na seção de cadastro, não é possível selecionar informações que o próprio site solicita, o que prejudica a navegabilidade.
Além disso, serviços elencados pelo contrato não aparecem como opções para o usuário, como o recebimento de pedido de adoção.
Embora tenha outro domínio, o site apresenta o logo da prefeitura, o que, em tese, coloca credibilidade para quem está acessando. Outra questão a ser considerada é que serviços que deveriam estar disponíveis no site, indicam telefones municipais, como o 153.
O que diz a prefeitura
Questionada sobre a situação, a Prefeitura de Sorocaba afirmou que está analisando cada uma das questões apontadas pela reportagem e que retornará com as informações pertinentes ao tema o mais brevemente possível.
Ninguém da empresa contratada pela Prefeitura de Sorocaba, a 3A Multimidia e Sistemas, foi localizada para comentar o caso.
Veja mais notícias da região no g1 Sorocaba e Jundiaí
VÍDEOS: assista às reportagens da TV TEM
