Vazamentos de dados pessoais no Brasil: Chegou a hora de discutimos sobre uma ID única maleável

Depois de escutar Tecnocast 177 – O grande vazamento de dados do Brasil (Aliás escute pois iremos girar em torno disso) eu fiquei aqui com os meus botões…

Brasil com com seu sistema financeiro muito robusto e inovador, não poderíamos tratar da mesma forma documentos pessoais de uma forma mais prática, segura, menos engessada e a prova de vazamentos? vamos lá, pense junto comigo:

Sabendo que nosso identificador, seja lá CPF, RG e os cambal é único, não seria possível gerar um número dinâmico mas, sempre atrelado aquele serumaninho seja lá pela base do governo, dados biométricos e outras formas de identificação?

Exemplo: Seria uma chave PIX da vida, teríamos nossa chave aleatória, e outras, sempre que houvesse algum rompimento de confiabilidade, o governo e órgãos de segurança teriam a capacidade de informar e proveniente alterar evitando maiores complicações, nem sei se blockchain teria algum uso nisso.

2 curtidas

Para mim o problema não é centralizar, e sim como seria feito e com quem fica a responsabilidade.

Já foi comprovado pelo tempo várias vezes que o governo brasileiro é incompetente em tudo que diz respeito a tecnologia. Portanto é difícil por minha mão no fogo e deixar minha identidade digital na mão de quem falha tantas vezes, seja comigo ou com o povo em geral em outros aspectos.

O tal “sistema robusto e inovador” foi feito tão as coxas que é possível fazer um ataque por injeção de script por origem cruzada (XSS), e tenho certeza que bancos como o BB não vão proteger o sistema contra isso tão cedo.

3 curtidas

É aí que ta o ponto!

Vazamentos no geral da forma como está sendo tratada, tudo leva a crer que daqui em diante será algo como “normal” e não deveríamos pensar assim.

Concordo profundamente com o que você falou quando se trata de tecnologia quando as coisas é postas nas mãos do governo, a gente sabe pra onde as coisas são levadas.

Não sei se fui entendido bem, mas quando referi os sistemas financeiros brazucas, é que, se goste ou não, os caras pelo menos estão fazendo alguma coisa, não necessário uma ação estatal para criar algo diferente, já a segurança, é algo nem precisa ir muito longe que vimos outros bancos e fintechs com brechas absurdas de segurança.

Ah, e um adendo, sem nenhum mérito se é ou não centralizado ou descentralizado, o intuito é como podemos contornar isso e evitar um transtorno que será gigante para o brasil no futuro caso não crie formas melhores de tratar os documentos pessoais dos brasileiros.

trazendo de novo ao ponto:

Como podemos melhorar, facilitar, ter a manutenção de um documento único físico/digital, simples, e antes de tudo com a confiabilidade daqueles dados?

Fazer um documento único não é um problema, já existe projeto em andamento pra isso (Lei 13.444/2017). Além de ter movimento na câmara federal nesse sentido também (link).

Eu acho que o problema mesmo está no sistema e não nas ferramentas. Pra mim, a evolução do Estado na era digital está no blockchain. Resolve diversas questões, incluindo dados de identificação.

O blockchain:

  1. Pode ser código-aberto, podendo qualquer um auditar e também sugerir mudanças.

  2. Qualquer um com os meios disponíveis¹ pode baixar a cadeia e se tornar um node. Permitindo a este rastrear transações/ordens públicas afim de averiguar se não há inconsistências.²

  3. Pode ter recursos de segurança dentro e fora da blockchain, tornando qualquer processo extremamente seguro.

  4. Agiliza processos burocráticos e/ou custosos, como Diário Oficial e serviços de cartório.

¹"Mas e as pessoas que não possuem condições?" Essas pessoas continuaram usufruindo do sistema vigente, com a noção de que o sistema está mais seguro e democrático.
Por exemplo, a pessoa que hoje não tem condições e usa o cartório, continuará a usar o cartório normalmente. É como as pessoas que pagam pra “limparem” o celular ou mesmo instalar o Whatsapp.

²Sim, existe o portal da transparência, mas como disse, a existência de um sistema blockchain não torna necessariamente o antigo em obsoleto. O portal pode e deve continuar existindo como uma ferramenta de consulta user-friendly.

Além do que, criar grande dependência do Estado pelo sistema torna mais difícil que governos autoritários surjam. Claro, seria necessário haver ferramentas na blockchain pra garantir esse poder ao povo.

Em suma, com um sistema blockchain haveria mais segurança, transparência e liberdade.

Adendos

PS: Eu sei que isso aqui é quase um manifesto tecno-democrático. Mas é pra aonde eu acho que o mundo trilha (salvo eventos adversos como um meteoro :laughing:).

PS 2: Não confunda tecno-democrático com tecnocrático. Há diferenças abiguinhos.


Você acha uma boa ideia a implementação do blockchain ao Estado?
  • Definitivamente sim
  • Sim, com ressalvas
  • Não, com ressalvas
  • Absolutamente não

0 votantes

2 curtidas

Vou expôr meu voto e dizer que apoio mas com ressalvas. Contudo minhas ressalvas não são baseadas em dúvidas para com a blockchain. E sim pelo mesmo motivo de minha falta de credibilidade: incapacidade tecnologia.

Antes de mais nada, o Estado precisa se modernizar e isso só pode ser feito com as próximas gerações. Portanto creio que o fundamento disso tudo é relacionado a espalhar o conhecimento necessário em TI, coisa que hoje não é feita.

Em parte a culpa disso é dos próprios brasileiros, que por sua maioria, preferem optar pela rota confortável nas ciências humanas.

Convenhamos, TI é uma é das ciências exatas aonde a maioria perde os cabelos e muitos desistem porque acham que vão sair hackeando facebook e escrevendo código estilo matrix, sim, tem idiota que pensa isso.

1 curtida

Dando um Google rápido encontrei diversos países que usam algum sistema de cerificação digital, semelhante ao Registro de Identidade Civil (RIC) e o Documento Nacional de Identidade (DNI), aqui alguns países que já estão avançando na digitalização:

:cn: - China
:de: - Alemanha
:uruguay: - Uruguai
:estonia: - Estônia - E foi aqui que chamou minha atenção!

"É possível dizer que este pequeno país europeu, localizado na região do mar Báltico, próximo à Rússia e à Finlândia, é o mais avançado do mundo quando falamos de Identificação Digital . Isso porque quase 100% da população (pouco mais de 98%, para ser mais exato) utiliza um documento único, que se conecta a uma plataforma chamada X-Road, que unifica as vidas off-line e online dos cidadãos. No mundo “físico”, cada habitante estoniano conta com um cartão dotado de um chip, que funciona como uma identidade única, que traz o RG, carteira de motorista, passaporte, vale-transporte e que permite até mesmo descontos em estabelecimentos comerciais do país.

Com este cartão, é possível acessar quase todos os serviços públicos. Entre eles estão declaração e pagamento de impostos, abertura de empresas, assinatura de contratos, transações bancárias, visualização de histórico médico (o que inclui obter receitas médicas) e até mesmo votar nas eleições locais.

Além disso, em um funcionamento semelhante ao de redes sociais, o usuário fica sabendo exatamente quem acessou o seu perfil digital e pode restringir o acesso a informações que ele considera mais sensíveis."

Como a identidade eletrônica torna a vida mais fácil na Estônia.

Olhando a forma bem sucedida com a identidade eletrônica na Estônia, acredito que por aqui funcionaria bem, apenas minha ressalva é como um colosso chamado governo federal é lento, burocrático e ineficiente para digitalizar qualquer coisa. Basta olharmos para Documento Nacional de Identidade (DNI), essa conversa rende deste 2013.

3 curtidas

Meus botões sobre o tema:

  1. Não existe “a prova de vazamentos”. Por melhor que seja, não existe um sistema robusto o suficiente pra garantir 100% de segurança por si próprio. E mesmo que exista, o ser humano sempre vai ser um ponto de falha. Um usuário com acessos elevados pode perder um acesso, pode ter um computador roubado, pode cair em um golpe de engenharia social, entre outras coisas.

  2. Independente de qualquer solução que o governo invente, sempre há a possibilidade de uma empresa ter seus dados vazados, seja por sistemas ruins ou pelos pontos levantados acima. A LGPD (e a GDPR, e suas variantes) serve pra punir isso e outras coisas, mas não tem como “desvazar” algo.

  3. Blockchain, apesar de ser uma ideia ótima em relação a cartórios, garante autenticidade dos dados mas não resolve problemas de segurança. Se alguém obter acesso privilegiado ao sistema que lê os dados dessa blockchain, o problema permanece o mesmo (exceto que não vai poder deletar nada, pois seria imutavel).

  4. Eu já disse isso em um outro tópico, mas se criou um vicio pela iniciativa privada de que o CPF é um dado sigiloso. O governo não criou o CPF para ser sigiloso e por design o CPF de muitas pessoas é exposto na internet. Se você comprar um dominio brasileiro, seu CPF fica no whois. Se você é médico, seu CPF fica no carimbo da receita ou do atestado médico. Se você utiliza a assinatura digital (que é controlada pelo governo brasileiro), seu CPF fica chumbado no PDF. Porém, como o CPF serve como um identificador unico para muitas coisas (o exemplo mais rapido é comprar chip pre pago), se tornou perigoso deixar o CPF a mostra.

  5. A Estônia é um ótimo exemplo de identidade digital mas não garante “inviolabilidade”. O que a Estônia faz é similar a nossa assinatura eletronica, mas aqui é muito mais burocrático ter uma e seu uso acaba sendo restrito para alguns casos (advogados geralmente precisam ter uma). O sistema da Estônia não garante involabilidade caso seu dado seja vazado.

Em resumo, essa discussão é importante, mas eu não vejo uma solução simples a ser tomada por governo algum. O Estados Unidos teve o mesmo problema com a Equifax, então não é um problema especifico do Brasil.

3 curtidas

A questão é que devemos parar de usa o CPF como identificador nosso, precisamos que cada serviço tenha um ID único e esse sim seja sigiloso, para que ninguém possa se passar por nós, mas isso cria o problema das pessoas esquecerem os seus dados, a maioria das pessoas não consegue nem lembrar o seu email e senha, talvez um tokem que gere números aleatórios fosse uma saída, saberia o teu numero de validação daquele momento.

1 curtida

Não existe um mecanismo que crie um “ID unico” de identidade estatal que substituiria o CPF pra todo e qualquer serviço que garanta confiabilidade, integridade e disponibilidade. Se tal mecanismo existisse, teria que ser mantido pelo governo do pais. O governo teria que manter uma API de que alguma forma, todo e qualquer serviço que você fosse utilizar (registrar um telefone, se cadastrar num site de ecommerce, fazer conta em um banco via internet, etc) teria que se autenticar a tal API do governo, que de alguma forma teria que confirmar que você é você com um mecanismo mais seguro que uma senha (chave privada? um token fisico? um 2FA?).

Existem soluções como Yubikeys que fazem algo proximo disso (além de uma senha, você deve ter o dispositivo que te autentica e garanta que você é você), ou autenticação em dois fatores (além de uma senha, um código que apenas você terá naquele momento). Alguns sistemas governamentais utilizam assinaturas digitais da cadeia da ITI (que você tem que pagar e ir fisicamente confirmar que você é você pra criar uma).

1 curtida

Este tópico foi fechado automaticamente 30 dias depois da úlima resposta. Novas respostas não são mais permitidas.