Contas de brasileiros no Portal e-CAC, da Receita Federal, sofrem de supostos acessos não-autorizados desde a última sexta-feira (19). Por meio de relatos diversos coletados pelo TecMundo, a maior parte dos protocolos de rede (IP) registrados nos acessos é proveniente dos Estados Unidos.
"Toda madrugada é um IP novo e sempre de algum host nos EUA".
O problema chega em meio à liberação da primeira restituição do Imposto de Renda, que também já sofre com relatos de dificuldades técnicas na consulta online sobre valores a receber. O e-CAC é ponto de contato digital da Receita Federal com a população brasileira.
“Já tem 1 semana que comecei a receber esse email diariamente, mais ou menos sempre no mesmo horário de madrugada”, comentou um dos afetados ao TecMundo. “Inicialmente achei que minha credencial pudesse ter sido vazada no último ataque que rolou, corri pra ativar o 2FA e trocar a senha e esperei que o problema cessasse. Não cessou. Toda madrugada é um IP novo e sempre de algum host nos EUA".
Outro usuário do e-CAC vem sofrendo com o mesmo acesso não-autorizado: “Imaginei se tratar de um ataque em campanha porque tentaram acessar o e-CAC justamente em um período de declaração de imposto de renda/restituição. Eles podem fazer mais que isso, imagino, mas talvez tentar alterar dados de restituição poderia ser uma hipótese”.
"Nenhum 2FA é enviado pro meu aparelho".
Ainda não é possível quantificar quantas contas sofreram os supostos acessos não-autorizados. Todos os relatos indicam o mesmo modus operandi: mesmo com troca de senha, segundo fator de autenticação ativado e boas práticas seguidas, diariamente o sistema da Receita Federal envia alertas de novos dispositivos registrados para os cidadãos — dispositivos, estes, de terceiros.
“Minha conta é protegida por ‘aprovação de dispositivo’ e todas as madrugadas eu deleto todos os dispositivos aprovados. No dia seguinte, novas contas Windows (Chrome) aparecem. Nenhum 2FA é enviado pro meu aparelho, mesmo consultando histórico de notificações”, complementou a primeira fonte.
e-CAC guarda dados sensíveis
O acesso não-autorizado em contas é perigoso: por baixo, ele oferece informações cruciais da vida digital de seu usuário oficial. No e-CAC, por exemplo, é possível acessar nome completo, endereço de email, número telefônico, endereço residencial, foto, CPF, RG, CNH, CDI e certidões.
Com essas informações completas em mãos, cibercriminosos podem desenvolver golpes que vão do phishing direcionado (mensagens falsas cunhadas especificamente para um alvo) até a abertura de contas. A alteração dos dados no governo também é uma possibilidade, uma vez dentro do sistema.
O TecMundo entrou em contato com a assessoria de imprensa da Receita Federal. Sem detalhar os motivos para que dezenas de acessos provenientes dos Estados Unidos tenham supostamente acontecido em contas, nos foi enviado o seguinte comunicado:
"A conta GOV.BR dispõe de uma funcionalidade de dupla verificação, que visa aumentar a segurança dos usuários. Dessa forma, cada dispositivo que acessa a conta GOV.BR é identificado e o usuário recebe uma notificação em seu e-mail cadastrado. Se o cidadão tiver delegado o acesso a um terceiro (contador, advogado, despachante etc.) para acesso a determinados serviços, compartilhando o seu certificado digital, pode ter recebido esses e-mails. Ressaltamos que os acessos com certificado digital, QRcode (sem senha) ou com a verificação em duas etapas ativa são automaticamente autorizados pela natureza segura desses acessos. O usuário GOV.BR poderá habilitar o acesso à conta apenas por dispositivos por ele autorizados, a qualquer momento, no aplicativo gov.br".
Categorias
