2018/04/18

Jovem descobre informação confidencial acessível publicamente em site governamental - é preso por isso


O Canadá é geralmente considerado um país pacífico, mas infelizmente parece estar a ser contagiado pela falta de bom-senso no que diz respeito a falhas do seu próprio governo.

Um jovem de 19 anos que estava a fazer download de documentos publicamente disponíveis num site governamental foi confrontado com uma visita da polícia que entrou em sua casa, revirou tudo e confiscou todos os equipamentos electrónicos, interrogou os seus pais e irmãos (um deles foi preso pelas autoridades enquanto vinha da escola a caminho de casa) - acabando por ser acusado criminalmente de aceder a documentos confidenciais.

A questão é que o jovem não estava a fazer nada ilegal. Tudo começou quando ele fez um pedido de informação sobre um assunto relacionado com os professores ao abrigo do "Freedom of Information Act". A resposta que obteve não lhe permitiu descobrir o que queria, pelo que começou a pesquisar outros documentos disponibilizados ao abrigo do mesmo artigo, em busca de informação relevante. Entretanto, reparou também que o link que lhe tinha sido dado para aceder à sua resposta continha um número no final... e que ao mudar esse número acedia a outros documentos. Assim, criou um pequeno script para descarregar todos os documentos possíveis - e publicamente disponíveis... mal sabendo o iria tornar num potencial "criminoso"; isto porque, lá pelo meio, estavam indevidamente disponíveis documentos confidenciais (que, independentemente deste incidente, continuariam a estar disponíveis para qualquer pessoa que lhes quisesse aceder).

Num mundo ideal, poderiam ter agradecido ao jovem por ter detectado uma falha flagrante ou até lhe terem dado uma recompensa. Infelizmente, vivemos muito afastados desse mundo ideal (mesmo no Canadá) e mesmo o simples acto de aceder a coisas disponíveis publicamente pode ser suficiente para arruinar a vida de um jovem e traumatizar toda a sua família (o seu pai também ficou sem acesso aos computadores, indispensáveis para o seu trabalho).

... Assustador!

19 comentários:

  1. !!Mas em Portugal, é que somos estúpidos😅😷.
    La diz o ditado: em toda a parte, se cosem favas😉

    ResponderEliminar
  2. O script permitiu fazer o download da informação que era pública e da que não era pública.
    Como é que a polícia antes de investigar sabia se foi um acidente ou foi um ataque ao servidor aproveitando uma vulnerabilidade?
    A polícia chegou, por certo com um mandato, leu os direitos e examinou os equipamentos.
    Foi um incómodo para as pessoas da casa? Por certo. Mas havia motivo para investigar ou não? O que indicia ser um crime informático não deve ser investigado?
    No final não foi feita nenhuma acusação nem a polícia revelou a identidade do suspeito que foi investigado.
    Cá, as hipóteses são:
    - Os indícios de crime informático não eram investigados
    - O Ministério Público mesmo que todas as provas indicassem o contrário faz a acusação e o caso segue para julgamento
    - Mesmo sem acusação os jornais publicam o caso com todos os detalhes e fotografia do "criminoso"

    ResponderEliminar
  3. Este comentário foi removido pelo autor.

    ResponderEliminar
  4. Parece o argumento de um filme de terror.... e se fosse por cá tb incluiria humilhação e tortura... porque a nossas autoridades ainda são mais primitivas e violentas e aproveitavam logo para fazer o que mais gostam!

    ResponderEliminar
  5. E se fizemos uma analogia diferente e fosse a tua casa/loja? Deixaste as chaves na porta e alguem entra e comeca a digitalizar as tuas foto, os teus documentos, a tirar fotos ao teu quarto? Isso seria legal?

    "A questão é que o jovem não estava a fazer nada ilegal." Como 'e que sabes isso?

    ResponderEliminar
    Respostas
    1. Pelo que diz o artigo a analogia seria: Deste a chave de casa ao jovem e disseste para entrar e pegar num livro. Como ele não encontrou, foi procurar nas divisões todas da casa.
      Para mim o criminoso foi o nabo que colocou tudo disponível publicamente.

      Eliminar
  6. Se não houver ninguém numa loja e se alguém roubar algo, é roubo ou não? Se eu deixar a porta de casa aberta, e se me levarem algo de casa... é roubo, ou não? O "menino" que detectou a vulnerabilidade alertou as entidades competentes ou fez um script para sacar a informação?

    ResponderEliminar
    Respostas
    1. A analogia seria mais aproximada a alguém passear nu em público, e depois prender todos os que tiraram fotos.
      Ele limitou-se a aceder a informação que estava publicamente disponível a todo o mundo. Nem fazia ideia que lá estivessem documentos confidenciais.

      Eliminar
    2. O post parte de um pressuposto incorreto: que toda a informação que o script permitiu fazer o download estava disponível (era público):

      "The vast majority of these files were already publicly available, and had been redacted prior to release to remove any personal information.

      But about 250 of the reports were prepared for Nova Scotians requesting their own government files. These un-redacted records contained sensitive personal information, and were never intended for public release."

      Seguindo a tua analogia: foram tiradas fotografias quando alguém estava vestido, em público, e quando estava nu em casa e não era permitido fotografar.

      O que a polícia tinha que deslindar é se a obtenção de fotografias proibidas foi intencional ou acidental.

      Eliminar
    3. Sobre fotos: O direito à imagem abrange dois direitos autónomos: o direito a não ser fotografado e o direito a não ver divulgada a fotografia.
      Sobre dados pessoais, com a rgpd, a consulta (e não estou a falar de publicação, tratamento, etc) de dados pessoais é considerado crime.
      O rapaz pode não ter tido percepção de que estava a cometer crime, no entanto é um facto que ele descarregou dados pessoais, o que é um crime.

      Eliminar
    4. @Aires, esqueceste apenas o pormenor que por "casa" estás a referir-te a um site público, destinado à divulgação de informação pública. Como a própria frase que citaste diz: "These un-redacted records contained sensitive personal information, and were never intended for public release."

      O *erro* é que estavam publicamente disponíveis... Pelo que agora atribuir a culpa (e dar o tratamento que foi dado) a alguém que, acidentalmente, enquanto sacava informação *pública*, viesse a dar com eles... parece-me ser completamente despropositado.

      Eliminar
    5. Carlos Martins

      "The vast majority of these files were already publicly available" - os outros, que são os que interessam, NAO ESTAVAM "and were never intended for public release".

      Eliminar
    6. Estavam sim, como foi demonstrado pelo presente caso. A diferença é que *não deviam* estar... (e este caso não se teria dado).

      Eliminar
    7. Outra analogia:
      Numa montra há vários objectos e é dito "leve o quiser"
      Mas a montra tem um buraco - quem estender o braço pelo buraco pode roubar objetos que não estavam na montra.
      Foi o que se passou com o script - permitiu fazer o download dos ficheiros que estavam na montra (públicos) e os que só eram acessíveis através do "hole".
      Isto parece-me inequívoco. A questão ė apenas determinar se o "hole" foi explorado intencionalmente, que pode ser considerado crime informático, ou não.
      A menos que se considere que os "holes"/vulnerabilidades são culpa do site/servidor e que qualquer um tem o direito a explorar e obter informação que não é pública.
      Verdadeiramente não percebo a consternação com o que fez a polícia canadiana. Quanto a mim agiu corretamente - investigou, não há crime, arquivou - rapidamente.

      Eliminar
    8. Seguindo as analogias... (é quase fim de semana... :)

      É como estares a oferecer todas as tralhas que tiveres na garagem a qualquer pessoa que as queira levar; no entanto também lá deixaste o teu relógio Rolex, um iPhone, um iPad, e a carteira cheia de notas.... :)

      Eliminar
    9. "no entanto também lá deixaste o teu relógio Rolex, um iPhone, um iPad, e a carteira cheia de notas..." - atrás de uma porta fechada.

      Mas a fechadura era fraca. Entrou um ladrão e levou-os. Culpa minha, nem pode deixar de ser.

      P.S. Se o ladrão tiver apelido Hacker então não só a culpa é minha, como ainda me prestou um favor ao demonstrar que a fechadura era fraca. Desculpa lá não ter percebido à primeira. É evidente que a polícia não devia ter investigado. Com tanto crime por resolver, para quê investigar indícios de crimes informáticos? Só mesmo no Canadá!
      !!Mas em Portugal, é que somos estúpidos😅😷.

      Bom fim de semana :)

      Eliminar
    10. Não... precisamente por não estar atrás de nenhuma "porta fechada" (nem sequer tendo "fechadura") é que se torna completamente absurdo. Eram dados disponíveis para todo o mundo, sem qualquer protecção.

      Eliminar
    11. E sim, deviam investigar... os responsáveis pelo sistema que deixou essa documentação "confidencial" disponível para todo o mundo.

      Eliminar
    12. Não posso deixar de comentar. Imaginemos que o rapaz (um qualquer jovem a fazer um trabalho) recebe o link no email ao qual acede através do telemóvel, dirige-se por isso ao primeiro computador que encontra e decide copiar o link, obviamente não pode usar um básico ctrl+c,ctrl+v pois são dispositivos diferentes, engana-se num dos inúmeros números do link, e o seu navegador automaticamente descarrega o ficheiro. Continha informação confidencial (que desde logo é uma estupidez principalmente dada a tecnologia atual não necessitar de pelo menos um login ou uma chave de encriptação) e 20 minutos depois tem a policia a prendê-lo e a acusá-lo, manchando o seu cadastro. Mais ainda, imaginemos que ele utilizou o computador de um colega, bem o o colega também se f**** e ficou sem computador, que engraçado.

      Ps. Vejo algumas criticas justas à nossa investigação e polícia mas também inúmeras críticas infundadas ou injustas. Além disso, não esquecer que muito do trabalho que eles fazem nem sequer aparece publicado em qualquer tipo jornal e que eles não podem controlar a cobertura dos media sendo que estes fazem todo o possível para vender papel, e a polícia tem o dever de transmitir a verdade quando questionada quanto a factos (é verdade que prendeu um suspeito? "foi levantada uma suspeita e detivemos um individuo para interrogatorio", no dia seguinte está um fotografo escondido para tirar foto a essa pessoa à saida da esquadra, as manchetes fazem dele um criminoso que não é, a sua vida é completamente remexida pelos media à procura de mexericos).
      Não estou com isto a justificar nada estou só a dizer que é preciso ser acertivos e justos na critica.

      Eliminar