2019/09/12

Autenticação.gov troca dados com o Facebook


O sistema de autenticação "Autenticação.gov" está, sem qualquer explicação ou indicação, a fazer comunicações com o Facebook, levantando diversas questões.

Actualização: O script em causa já foi removido.

Como é sabido, o Facebook tem estado em sucessivos escândalos sobre o uso abusivo dos muitos dados que recolhem sobre os utilizadores (e até mesmo sobre os não-utilizadores). Por isso mesmo, foi com bastante surpresa que o nosso João Pina verificou que o Autenticação.gov estava a trocar dados com o Facebook.





E também a recolher o email do Facebook dos cidadãos, sem qualquer explicação ou referência para que tais dados serão utilizados.

Tratando-se de um serviço de autenticação governamental, seria prudente que não estivesse dependente ou ligado a qualquer serviço externo, e ainda menos quando esse serviço é o Facebook. Por "boas intenções" que esta troca de dados com o FB possa ter, acaba por contribuir com mais informação, indicando ao FB que determinado utilizador estará a utilizar o autenticação.gov para aceder a determinados serviços, permitindo criar um perfil ainda mais detalhado sobre cada pessoa.

Esperemos que a curto prazo esta ligação ao Facebook possa ser removida, passando a funcionar de forma completamente isolada, com maior garantia de privacidade para os cidadãos portugueses.


Actualização: O João Pina enviou-nos uma explicação simplificada dos motivos pelo qual isto é desaconselhado, que transcrevemos de seguida:

A primeira coisa que é preciso perceber é que sempre que vamos a um site há certos dados que damos a esse site, seja um IP, user agent (versão do browser) entre outras coisas.

O que acontece neste caso é que na página de autenticação do autenticacao.gov.pt eles incluem um pedaço de código do Facebook (chama-se SDK). Este SDK serve para fazer muitas coisas. Mas ao estar incluído automaticamente está a dar informações ao Facebook. Essas informações vão dizer que a pessoa X esteve a visitar aquele site, com ainda mais detalhe no caso de se tratar de uma pessoa que estiver com sessão activa no Facebook (ou seja, com login feito) .

Esta informações depois são usadas para o dono site ter dashboards de estatísticas, como as que falo aqui.

A simples inclusão do SDK é a prova que estas informações estão a ser transmitidas para o Facebook.

Na minha opinião não é admissível que uma entidade governamental forneça este tipo de informações ao Facebook. Porque depois o Facebook também usa estes dados para segmentar campanhas de anúncios entre outras coisas. Muito daquilo que ouvimos falar do Cambridge Analytica.

Isto acontece não só no autenticacao.gov.pt mas o próprio site do governo tem o mesmo sdk incluído (www.portugal.gov.pt). E não há necessidade nenhuma (pelo menos do ponto de vista técnico) para estar a oferecer estes dados ao Facebook.

Numa nota também importante, todos estes sites usam também google analytics, que também enviam informação para a Google para efeitos de estatísticas de acessos. No entanto não ouvimos falar tanto de problemas do tipo Cambridge Analytica com a Google.


Actualização (13/09): O script em causa já foi removido.

8 comentários:

  1. Ou então podiam ter lido esta secção no site da autenticação.gov, se eles próprios o indicam, não é assim tão escandaloso como podem fazer crer:

    https://www.autenticacao.gov.pt/oma-redes-sociais

    "Redes Sociais
    O cidadão poderá autenticar-se em vários portais e sítios de internet de entidades públicas com o perfil que utiliza nas várias redes sociais.

    Assim, estando registado numa rede social (facebook, linkedin, twitter) poderá conectar-se em sites da administração pública.

    Não são enviados dados para as redes sociais, de acordo com as melhores práticas. Apenas é incorporado código das redes sociais no autenticação.gov, o qual pode ser usado caso o método de autenticação selecionado pelo utilizador seja através de uma rede social.

    O email do cidadão (das redes sociais) só é obtido pelo autenticação.gov se:

    1) o site em causa aceitar esse método de autenticação (redes sociais),

    2) o utilizador selecionar também esse método e

    3) se o utilizador se autenticar com as respetivas credenciais na rede social dando autorização ao autenticação.gov para acesso a tal email."

    ResponderEliminar
    Respostas
    1. Curioso que essa página sublinhe o "Não são enviados dados para as redes sociais" - quando isso é precisamente mentira; basta aceder à página inicial para que seja feito o contacto ao FB relativamente ao visitante, mesmo antes de sequer dizerem se querem utilizar qualquer rede social.

      Eliminar
  2. Já agora, não percebo o ataque "só" ao Facebook, quando é claramente visível no código da última foto do artigo que também é contemplada a autenticação via Twitter, LinkedIn e Google.

    ResponderEliminar
    Respostas
    1. Quando surgirem casos com implicações ao nível Cambridge Analytica associados a esses serviços, também poderão ser referidos. Até lá, não se aproximam dos riscos / receios associados ao FB.

      Eliminar
  3. E depois ainda acham estranho quando digo que nunca na vida criaria conta nisso.

    ResponderEliminar
  4. Mas o problema NÃO É apenas esse.
    Hoje (14/09/2019 às 19h54) não consigo gerar códigos de autenticação na app.
    Quando a abro aparece uma mensagem de erro a dizer "Informação. Houve um erro no pedido, verifique a sua ligação à internet". O problema não é da minha ligação à net pois tentei com a ligação via NOS e via Vodafone e o resultado é sempre o mesmo. E consigo usar outras apps que requerem net e consigo abrir outros sites (como o Aberto Até de Madrugada - caso contrário não conseguiria escrever isto aqui).

    Ou seja, para gerar os códigos, é preciso haver ligação à internet (ao contrário do Google Authenticator).

    Pelo que, neste momento, a autenticação com Chave Móvel Digital é apenas possível através do método de envio do código via SMS para o telemóvel.

    Esta questão foi levantada por uma estranha mensagem que apareceu na caixa de mensagens do CaixaDirectaOnline: "Denúncia do contrato de SDD".
    Ao clicar no link não deixa abrir a mensagem, apesar de ter sido disponibilizada ontem. Liguei para o apoio ao cliente e afinal é apenas uma mensagem a informar que as cadernetas deixam de poder ser usadas para movimentar a conta (apesar do título enganoso).

    Aproveitei para questionar acerca deste método de autenticação por via de mensagens SMS (que outros bancos estrangeiros optaram por fugir ou disponibilizar apenas como solução de rectaguarda). Sendo um banco de referência, não deveria dar o exemplo e usar métodos mais seguros?
    Mencionei o ataque SIM swap como exemplo.
    E sugeriram deixar como segestão no "Espaço Cliente" pois há a possibilidade de anexar documentos para fundamentar as sugestões.

    Resumindo: expliquei à senhora que me sinto mais seguro entrar no homebanking da CGD usando a Chave Móvel Digital (através do método de código gerado na app em vez da mensagem enviada para o telemóvel) do que usar as credenciais disponibilizadas pela CGD.
    Felei também em Yubikey mas acho que ela não percebeu nada. Não é defeito da senhora. O defeito é o défice de conhecimentos de segurança que em geral o povo tem. Ainda bem que existe este blog!

    Fica aqui o registo.
    Grande abraço, Carlos, e continua com este EXCELENTE blog!

    ResponderEliminar