Violação de dados por e-apostila expõe mais de 1.000 pessoas a riscos de identidade
Um website fraudulento concebido para imitar a plataforma oficial de apostila eletrónica do Bangladesh expôs dados pessoais sensíveis pertencentes a mais de 1.100 cidadãos, no que os especialistas em segurança cibernética consideram uma das falhas de governação digital mais alarmantes dos últimos anos. Os documentos vazados online incluem cartões NID, passaportes, certidões acadêmicas, certidões de casamento, licenças comerciais, acordos comerciais e outros registros privados – materiais que poderiam ser explorados para roubo de identidade, falsificação, extorsão e golpes altamente direcionados. O site, operando sob um domínio de notícias, imitou de perto a interface e a estrutura do serviço de apostila eletrônica MyGov, administrado pelo governo, hospedado no bd. Quando digitalizados, estes códigos redireccionavam os utilizadores para uma base de dados ordenada sequencialmente. A alteração dos dígitos finais no URL revelou documentos pertencentes a outros candidatos – uma vulnerabilidade conhecida que os especialistas identificam como Referência Directa a Objectos Insegura (IDOR). “Com referências sequenciais, qualquer pessoa pode coletar arquivos confidenciais em grande escala”, disse um analista de segurança cibernética de Dhaka, acrescentando: “O uso de UUIDs, criptografia e verificação de acesso em camadas poderia ter evitado isso”. As vítimas incluem estudantes de Bangladesh que se preparam para universidades estrangeiras, trabalhadores migrantes, candidatos a emprego, representantes de empresas e indivíduos que enviam documentos familiares para verificação pessoal no exterior. o portal falso. Quando contactadas, nove vítimas confirmaram a propriedade dos documentos vazados, mas nenhuma tinha conhecimento da violação antes da notificação.Uma requerente, uma mulher que apresentou documentos de casamento e passaportes através de uma agência, expressou preocupação: “Não sei para onde foram as minhas informações. Como posso estar segura agora?”Os investigadores da Aspire to Innovate (a2i) identificaram pelo menos seis domínios falsos activos que se fazem passar pelas plataformas MyGov. Esses sites usavam grafias, layouts visuais e nomes de serviços semelhantes para enganar candidatos desavisados. As autoridades dizem que a rede fraudulenta parece ter funcionado desde Outubro, recolhendo dados discretamente, emitindo certificados falsos e armazenando cópias digitalizadas de documentos. Um relatório confidencial de investigação inicial analisado pelo Dhaka Tribune alerta que os sites podem ter sido usados para phishing, fraude financeira e recolha de dados – e podem estar ligados a ecossistemas criminosos mais amplos. As equipas de segurança cibernética suspeitam de motivos comerciais, mas não excluem a sabotagem organizada ou a nível estatal. Faiz Ahmad Taiyeb, assistente especial do conselheiro-chefe que supervisiona o ministério das TIC, descreveu o episódio como parte de um esforço mais amplo de sabotagem digital. “Já sabemos que milhões de dados de cidadãos estão a circular na dark web. Estas plataformas estão a tentar minar a confiança do público nos serviços governamentais”, disse ele ao Dhaka Tribune. Acrescentou que novas células de segurança podem ser estabelecidas para combater ameaças a longo prazo. O Bangladesh enfrentou repetidas crises de exposição de dados nos últimos anos – desde a fuga de portais de queixas policiais e registos de estudantes até à alegação de 2023 de que 50 milhões de registos de vacinação contra a Covid tinham surgido online. Especialistas em tecnologia argumentam que estas violações recorrentes minam a credibilidade nacional e ameaçam os sectores diplomático, de migração laboral e económico. Relativamente a estes aspectos, o Professor BM Mainul Hossain, da Universidade de Dhaka, alertou que os documentos pessoais, ao contrário das palavras-passe, não podem ser alterados. “Uma vez que os registros de identidade privada entram na esfera pública, o dano se torna permanente”, disse ele. Analistas de governança digital dizem que a última violação revela vulnerabilidades estruturais mais profundas: dependência excessiva de agentes terceirizados, verificação insuficiente da plataforma, fraca conscientização pública e ausência de uma lei nacional abrangente de proteção de dados. Bangladesh começou a redigir uma Lei de Proteção de Dados em 2022, mas ela ainda não foi promulgada. verificação, detecção automatizada de aranhas, arquitetura de confiança zero, gateways de API seguros e auditorias regulares de terceiros – padrões agora comuns em sistemas nacionais de identidade digital. os serviços digitais não podem sobreviver sem fortes salvaguardas de dados. A questão já não é se existem vulnerabilidades, mas por quanto tempo o Bangladesh se pode dar ao luxo de as ignorar.
Publicado: 2025-12-21 12:36:00
fonte: www.dhakatribune.com
