Diversos sites de prefeituras e órgãos estaduais estão associados a termos relacionados a apostas, pornografia e, em casos mais graves, abuso de menores de idade em buscas no Google.
Os cibercriminosos estariam usando esses domínios para aumentar a visibilidade de sites de apostas nos resultados de pesquisa, de acordo com especialistas.
Os links aparecem com comandos padrão do Google que buscam por termos específicos, entre aspas, em um tipo de URL específica, determinado pelo comando "inurl" no buscador.
Testes da reportagem mostram que, mesmo quando palavras maliciosas figuravam nos títulos dos links, estes redirecionavam para sites de apostas. Em alguns casos, os links conduziam corretamente às páginas oficiais das prefeituras, enquanto outros resultavam em páginas vazias.
Veja como resultados aparecem no Google
Esses resultados indicam uma modificação na estrutura do próprio site, segundo Daniel Barbosa, pesquisador na empresa de cibersegurança Eset.
O especialista afirma que a exploração pode ter ocorrido por meio de vazamento de credenciais dos administradores, do comprometimento de um provedor de serviços web que está hospedando tudo ou até de uma exploração de vulnerabilidades site por site.
"E dá pra fazer tudo isso de forma automática, caso alguma pessoa mal intencionada queira. Você pode fazer a validação automática de credenciais ou de alguma vulnerabilidade e, após achar algo, pega o resultado dessa análise e começa a explorar", diz.
Lucas Lago, desenvolvedor de software e membro do Instituto Aaron Swartz de tecnologia, ressalta que, embora o objetivo principal dessas invasões pareça ser apenas aumentar a relevância dos sites de apostas, elas abrem caminho para ataques mais sérios.
"A quantidade de coisas que seria possível fazer a partir de uma brecha como essa é essencialmente infinita. É o 'Santo Graal' das vulnerabilidades", comenta.
Se a prefeitura tiver serviços hospedados no mesmo portal, os dados usados pelo serviço estão comprometidos e podem ser facilmente acessados, exemplifica o desenvolvedor. Como exemplo, informações sensíveis como nomes completos e números de documentos de contribuintes.
Não está claro se há uma razão específica dos criminosos para usar sites de governo. Por não ver uma motivação política explícita, como a transmissão de mensagens ideológicas, Lago, assim como Barbosa, acredita que se trata de uma busca automatizada por brechas.
"Devem existir sites '.com.br', privados, com o mesmo problema. É um ataque aleatório. Mas, como as prefeituras têm sites com vulnerabilidades muito grandes, elas acabam sendo vítimas", comenta.
Prefeituras são maioria
Identificamos mais de 100 menções no Google a órgãos governamentais com termos como "xxxvideos", "novinha", "pornô", "cassino online" e "bet", além de outras palavras explícitas que optamos por não reproduzir. Encontramos também termos que fazem alusão a relações íntimas com meninas de 15 anos.
São ao menos 36 prefeituras com seus sites hackeados. Os portais de Contagem (MG), Taboão da Serra (SP), São Carlos (SP) e Florianópolis (SC) foram alguns dos afetados.
Para Maria Alexandra da Cunha, coordenadora de tecnologias e governos do Centro de Estudos de Administração Pública e Governo da Fundação Getulio Vargas, a falta de capacidade de governança de TI nas prefeituras seria uma das causas principais de tanta vulnerabilidade.
"Isso vai desde desenvolvimento, compra de hardware e software, gestão de contrato de manutenção, até expertise para entender a qualidade de serviços. Tudo entra no mesmo pacote. É uma tendência e este achado da reportagem é sintoma de um problema geral", comenta.
Em um sentido amplo, órgãos municipais teriam menos capacidade de segurança digital que os estaduais. Estes, por sua vez, seriam menos protegidos que os federais. Isso tanto em orçamento quanto em qualificação técnica para uma gestão de qualidade, de acordo com os especialistas.
"Normalmente, fazer certo e fazer mal feito sai pelo mesmo preço. Vai da capacidade das prefeituras de contratar pessoas que sejam capazes de trabalhar seguindo as boas práticas", comenta Lago.
Cidades menores, problema maior
Há ainda uma desigualdade significativa entre prefeituras de cidades menores e regiões mais pobres, que enfrentam maiores desafios na atração e retenção de profissionais qualificados em TI.
"O Brasil não é essa 'terra arrasada' que dizem. Em alguns órgãos, temos sistemas de TI muito bons, estruturas robustas. Mas os mesmos marcadores de desigualdade do território são também os marcadores de desigualdade de tecnologia", comenta da Cunha.
Mais da metade das prefeituras com vulnerabilidades identificadas pelo Byte tem até 30 mil habitantes, segundo dados do Instituto Brasileiro de Geografia e Estatística (IBGE).
Em Contagem, uma das cidades com maior incidência de links indevidos, a secretaria de tecnologia da informação informou que o problema foi identificado e está sendo combatido, embora a solução completa ainda demande tempo.
"Como os agentes maliciosos apresentam comportamentos distintos e considerando que são milhares de arquivos que precisam ser verificados, eliminar todos os redirecionamentos ainda levará um tempo”, disse um representante da Secretaria Municipal de Tecnologia da Informação da cidade mineira.
Uma outra inspeção realizada pelo Byte mostra que diversos links para sites de apostas estão infiltrados no meio do código do site principal da prefeitura de Taboão da Serra. A página está na lista das que aparecem indexadas a termos indevidos no Google.
A prefeitura de Taboão, ao ser questionada, afirmou estar ciente do problema e garantiu que nenhum dado de munícipes é hospedado no portal afetado.
Estaduais também sofrem
Mas, apesar de serem maioria, o problema não fica restrito aos municípios. Falhas semelhantes foram encontradas em sites da Secretaria de Educação de São Paulo, da Secretaria de Segurança Pública de São Paulo e da Secretaria de Saúde do Rio Grande do Sul.
A página do Programa Melhor Infância do Rio Grande do Sul, iniciativa que visa promover a melhoria da qualidade de vida de crianças nos primeiros anos de vida, é uma das que mais concentram invasões, inclusive com termos explícitos.
Após contato do Byte, a Secretaria de Saúde do Rio Grande do Sul retirou a página do ar. À reportagem, o órgão afirmou que o site "se encontrava hospedado em sistema externo, diferente de todos os outros do governo do estado", e que "está finalizando a migração dos itens para novo servidor ainda nesta semana".
A Secretaria da Educação do Estado de São Paulo diz que "o site da Educação não foi invadido e nenhum dado do servidor foi comprometido ou vazado". Além disso, afirmou que a plataforma é segura e que situação mencionada pela reportagem já havia sido identificada pela pasta, que notificou e solicitou ao Google que removesse os links relacionados.
A gigante de buscas, por sua vez, afirmou à reportagem que combate links do tipo em sua plataforma com 99% de eficácia, "incluindo spam hackeado que pode aparecer quando há vulnerabilidades na segurança de um site".
"Também trabalhamos para notificar os sites quando nossos sistemas detectam que eles podem ter sido invadidos e fornecemos dicas para ajudar os proprietários a garantir e melhorar a segurança de suas páginas", diz o Google.
A Secretaria de Segurança Pública do Estado de São Paulo nos encaminhou a seguinte nota:
"A Secretaria da Segurança Pública esclarece que o site da SSP é de responsabilidade da Prodesp [empresa de informática do governo de SP]. A vulnerabilidade identificada no domínio "www.ssp.sp.gov.br" foi neutralizada e os protocolos de segurança foram atualizados. Cabe esclarecer que o site não guarda dados de nenhum servidor ou contribuinte."
A empresa de informática do governo de SP, por sua vez, deu posicionamento contrário. Ao Byte, alegou não ser de sua responsabilidade a gestão dos domínios afetados.
"A Prodesp esclarece que não é responsável por domínios e reforça que não existem sites clandestinos no portal da Secretaria da Segurança Pública", diz o órgão.
Também tentamos contato com as gestões de São Carlos (SP) e Florianópolis (SC), que concentram links indevidos, mas não recebemos resposta.