Em função do recente caso envolvendo um alegado vazamento de dados da Receita Federal, que teria sido realizado pelo grupo Anonymous, efetuei um pedido de acesso à informação sobre a situação. Reproduzo aqui a pergunta e a resposta oficial da instituição negando o vazamento. Destaco também que essa situação foi tema do podcast Segurança Legal no seu ep. 43.
Pergunta:
A imprensa especializada informou recentemente (no início do ano de 2014) um incidente envolvendo a receita federal. A notícia dá conta de que o grupo anonymous obteve acesso a 200GB de dados da receita federal (ver notícia em http://mariano.delegadodepolicia.com/grupo-anonymous-obtem-acesso-a-15-milhoes-de-dados-da-receita-federal-e-disponibilizam-site-para-pesquisa-de-c-p-fs/).
Essa consulta tem o objetivo de obter as seguintes informações sobre este caso:
1 - A receita soube do ocorrido antes ou depois de divulgado da imprensa?
2 - Quais as informações que a receita tem sobre a natureza do incidente? Tecnicamente, como esses crackers conseguiram acesso a esses dados?
3 - Quais as informações que a receita pretende dar aos contribuintes acerca do incidente?
Nestes termos,
Peço deferimento
Essa consulta tem o objetivo de obter as seguintes informações sobre este caso:
1 - A receita soube do ocorrido antes ou depois de divulgado da imprensa?
2 - Quais as informações que a receita tem sobre a natureza do incidente? Tecnicamente, como esses crackers conseguiram acesso a esses dados?
3 - Quais as informações que a receita pretende dar aos contribuintes acerca do incidente?
Nestes termos,
Peço deferimento
Resposta oficial da instituição obtida em 06/01/2014
Acerca dos questionamentos feitos temos a dizer que:
1- Como neste caso não houve incidente de invasão das nossas bases de dados, as quais são monitoradas 24h por dia, por uma estrutura de GRA (Grupo de Resposta à Ataques), não poderíamos ter tomado conhecimento de um fato inexistente, tecnicamente falando. Nesse sentido, ficamos a par desta noticia por meio dos veículos de comunicação que divulgaram a mesma.
2- O que podemos afirmar é que os dados disponibilizados, no site relacionado na notícia, não correspondem aos da base de dados da RFB. Foram feitos testes pela RFB, no curto tempo em que o referido site ficou no ar, e neste intervalo pudemos detectar diversas inconsistências, tais como: endereços errados, endereços desatualizados, informações que nunca estiveram nas bases da RFB, etc. Não podemos afirmar em qual fonte o grupo, citado na noticia, obteve esses dados, mas é fato notório que redes de lojas de comércio varejistas, de prestação de serviços e até concessionárias de serviço público possuem bases cadastrais com dados fornecidos voluntariamente pelos cidadãos brasileiros.
3- Não houve incidente porque não houve invasão de dados de bases da RFB. A RFB já se comunicou com os veículos que divulgaram essa notícia, visando esclarecer aos mesmos a falta de veracidade da informação veiculada. Nesse sentido, foram tomadas cautelas para que esta polêmica não fosse novamente alimentada na imprensa, já que o maior laurel para este tipo de hacker é exatamente a publicidade e a notoriedade.
Disponha dos serviços desta Unidade, sempre que julgar necessário.
1- Como neste caso não houve incidente de invasão das nossas bases de dados, as quais são monitoradas 24h por dia, por uma estrutura de GRA (Grupo de Resposta à Ataques), não poderíamos ter tomado conhecimento de um fato inexistente, tecnicamente falando. Nesse sentido, ficamos a par desta noticia por meio dos veículos de comunicação que divulgaram a mesma.
2- O que podemos afirmar é que os dados disponibilizados, no site relacionado na notícia, não correspondem aos da base de dados da RFB. Foram feitos testes pela RFB, no curto tempo em que o referido site ficou no ar, e neste intervalo pudemos detectar diversas inconsistências, tais como: endereços errados, endereços desatualizados, informações que nunca estiveram nas bases da RFB, etc. Não podemos afirmar em qual fonte o grupo, citado na noticia, obteve esses dados, mas é fato notório que redes de lojas de comércio varejistas, de prestação de serviços e até concessionárias de serviço público possuem bases cadastrais com dados fornecidos voluntariamente pelos cidadãos brasileiros.
3- Não houve incidente porque não houve invasão de dados de bases da RFB. A RFB já se comunicou com os veículos que divulgaram essa notícia, visando esclarecer aos mesmos a falta de veracidade da informação veiculada. Nesse sentido, foram tomadas cautelas para que esta polêmica não fosse novamente alimentada na imprensa, já que o maior laurel para este tipo de hacker é exatamente a publicidade e a notoriedade.
Disponha dos serviços desta Unidade, sempre que julgar necessário.