O site chama-se, sem muita imaginação, cartadeconducaoemportugal.com. Diz que nos pode vender uma Carta de Condução verdadeira sem fazer exames. Mas o perigo está ao virar da esquina.

Há mais de 230 dias que o site cartadeconducaoemportugal.com está online. Ironicamente, conforme descobriu o Tugaleaks, o site ainda não se encontra bloqueado. Existe uma lista de sites bloqueados (que conta com neste momento mais de 1700 sites) mas este site, online mais de meio ano, ainda não consta nessa lista.

Este site engana os Portugueses, dizendo que “a compra da carta de condução portuguesa é feita com toda a tranquilidade em nosso site”. Num Português “abrasileirado”, o site mente aos seus internautas ficando-se a saber que na realidade expõe ilegalmente os dados dos cartões de cidadão de centenas de Portugueses. O site diz que tem uma “parceria com quatro escolas de condução em Lisboa e no Porto” e que em “6 dias” tens a carta de condução.

 

A farsa que ainda agora começou

Até aqui, estávamos perante um website fraudulento. Mas, no formulário de envio de contacto, vemos ainda algo mais grave. O formulário de contacto, num site feito em WordPress, além de enviar os dados para um endereço de e-mail, ainda os guarda no website, isto é, ao alcance de todos os cidadãos.

Quem o afirma é José Freitas, membro da Comunidade Portuguesa de WordPress (um sistema de criação de sites utilizado por inúmeros websites em Portugal), ao indicar que “o site apresenta uma vulnerabilidade de segurança severa num plugin que está ligado ao sistema de formulário de contacto que o site utiliza para que as pessoas submentam os seus documentos”. “É uma falha de segurança grave que coloca acessíveis tudo aquilo que os ‘clientes’ submeteram, desde documentos à assinatura”, continua José. E vai mais longe, ao dizer que “o programador que criou o plugin em causa já corrigiu a falha de segurança há bastante tempo mas fruto do desconhecimento, falta de cuidado ou apenas uma total ausência de interesse pelos dados dos ‘clientes’, o responsável pelo site continua a usar uma versão desactualizada do plugin, colocando acessíveis os dados dos utilizadores / clientes”.

O Tugaleaks por questões de segurança e privacidade não irá indicar “onde” exactamente os dados estão, mas é certo que o seu acesso é fácil para quem souber efetuar auditoria de websites. Demorámos, na nossa investigação tecnológica, menos de 5 minutos a encontrar esta falha.

 

Identificámos também o possível autor do site

Uma pesquisa por [email protected] no Google (link de pesquisa aqui) leva-nos ao possível autor do site, ou pelo menos ao autor da sua divulgação. Por isso, contactámos a Procuradoria-Geral da República, a GNR, o IMT, a PSP, e a CNPD para perguntar, além de outras, uma questão simples: como pode este site estar online? 

Das três primeiras identidades, obtivemos silêncio absoluto, apesar das nossas várias tentativas de pedido de informação. Da PSP, ficámos de receber uma resposta até hoje, algo que não aconteceu.

Já Isabel Cruz, da CNPD, informou-nos que “a CNPD tomou conhecimento da situação com base numa exposição apresentada por um cidadão e, por haver indícios de conduta criminosa, foi determinado o reporte à Polícia Judiciária” e também “dado conhecimento ao IMT”.

Abrimos várias imagens com cópias do Cartão de Cidadão e assinaturas em folha branca. Tudo isto sem qualquer proteção e online à “mão de todos”. 
Parece que muitas das entidades contactadas sabem da situação. Mas ninguém a resolve. Referimos novamente que o site está online há mais de 230 dias.

Resta-nos avisar-te a ti, o cidadão, de que por vezes o barato sai caro.

 

Conheces alguma situação na “net” parecida com esta?
Então envia uma denúncia anónima ao Tugaleaks

Foto: Contas Poupança