A Fundação Procon-SP passou a utilizar o protocolo HTTPS em todo o seu site, incluindo no Cadastro para Bloqueio do Recebimento de Ligações de Telemarketing, após uma denúncia da imprensa: o sistema lançado em 2009 dependia de conexões não-protegidas há anos, potencialmente expondo dados pessoais como endereço e número de telefone. Em outros estados, como Rio Grande do Sul e Mato Grosso do Sul, os sistemas para barrar chamadas indesejadas ainda usam HTTP.
O jornal Agora fez o teste: preencheu o cadastro do Procon-SP para bloqueio de telemarketing, inserindo dados como nome, CPF, RG, e-mail, endereço e telefone. Ao usar um programa para analisar a conexão, foi possível ler todos as informações enviadas.
O motivo é simples: o site adotava o HTTP em vez de HTTPS, por isso os dados não usavam criptografia durante o envio. Seria relativamente fácil interceptar a conexão e roubar essas informações.
O Internet Archive mostra que esta página para bloqueio de telemarketing usava HTTP desde pelo menos 2011. O sistema foi lançado em 2009 após a aprovação de uma lei estadual: moradores de São Paulo podem solicitar opt-out de ligações indesejadas de qualquer empresa, incluindo operadoras, bancos, financeiras e imobiliárias.
O Procon-SP respondeu dizendo que, a partir da segunda quinzena de agosto, passaria a utilizar o protocolo HTTPS no site de bloqueio de telemarketing. Dito e feito: notamos que https://www.procon.sp.gov.br/bloqueiotelef passou a ser o link de acesso nesta sexta-feira (16).
O órgão adotou um certificado SSL da DigiCert e a página carrega todos os recursos via HTTPS, garantindo maior segurança. No entanto, ainda falta fazer alguns ajustes: o Google Chrome avisa que o site utiliza tecnologias antigas como TLS 1.0 e troca de chaves RSA; o navegador recomenda mudar para o TLS 1.2 (ou superior) e para uma troca de chaves com protocolo ECDH.
Outros bloqueios de telemarketing ainda não usam HTTPS
O Não Me Perturbe, criado por determinação da Anatel para bloquear chamadas indesejadas de operadoras, foi lançado em julho já com HTTPS. No entanto, ele não serve para barrar ligações de outras empresas, como bancos e imobiliárias.
Diversos estados oferecem cadastros online para bloqueio total de telemarketing, porém muitos ainda usam HTTP para receber dados pessoais, em vez de HTTPS.
Fizemos um levantamento dos cadastros anti-telemarketing que não utilizam conexão HTTPS:
Enquanto isso, os estados abaixo adotam o HTTPS:
O cadastro anti-telemarketing do Distrito Federal usa HTTPS, exceto na parte mais importante: nos formulários que recebem os dados de login e cadastro. Ele foi lançado em julho e pode ser acessado em merespeite.procon.df.gov.br.
O estado do Rio de Janeiro sancionou em abril uma lei que criará um cadastro de bloqueio de telemarketing, mas isso ainda precisa ser implementado. Por sua vez, Mato Grosso analisa um projeto de lei estadual sobre o assunto.
