Site de autenticação do Estado estará a partilhar dados pessoais com o Facebook

(CC0/PD) fancycrave1 / Pixabay

O site do sistema de autenticação do Estado – autenticacao.gov.pt – estará a partilhar informações pessoais de quem acede à página com o Facebook.

A denúncia foi feita pelo investigador João Pina no Twitter e confirmada pela revista Exame Informática que falou com um outro especialista na área, mas que não quis ser identificado.

O site tem integrado um kit de desenvolvimento de software (SDK) do Facebook que faz com que algumas informações dos visitantes do site sejam partilhadas com a rede social. De acordo com João Pina e a fonte ouvida pela Exame Informática, pelo menos o endereço de protocolo de Internet (IP) e a versão do browser do utilizador são partilhados com o Facebook.

“Sempre que vou a um site estou a dar certos dados. Agora, não tenho que dá-los a terceiros, que é o que está a acontecer aqui. Os meus dados estão a ir para terceiros. Ainda para mais o Facebook está no meio destas polémicas todas da privacidade de dados”, começa por defender João Pina. “Não há razão técnica que justifique estar a fazer isso”, acrescentou.

«A primeira coisa que o SDK do Facebook faz, quando o site é aberto, é introduzir um iframe dentro dessa página. Esse iframe contém uma ligação para o Facebook.com e a partir deste momento o Facebook sabe que, se a pessoa estiver autenticada no Facebook, está a aceder àquela página”, detalhou João Pina. No caso dos utilizadores com sessão iniciada na rede social, o Facebook consegue depois fazer uma correspondência com os restantes dados que já tem dessa pessoa.

Contudo, mesmo um utilizador que não tenha perfil no Facebook e aceda ao site, vai ter o endereço de IP e versão do browser partilhados com a rede social.

João Pina defende também que a Agência para a Modernização Administrativa (AMA), instituto responsável pela modernização administrativa em Portugal e pelo site, está a registar o email que o utilizador tem associado ao Facebook.

A AMA, questionada com a situação, remeteu o “esclarecimento técnico” para a informação disponível no site da plataforma de autenticação do Estado. Na página é dito que “o autenticação.gov disponibiliza outros meios de autenticação, como a utilização de um user (Utilizador) e password (Palavra-Chave) ou das redes sociais, disponíveis em serviços onde apenas é relevante conhecer o e-mail do utilizador, como por exemplo subscrições de newsletter, recorrendo à incorporação de métodos e código destas redes sociais#.

Num separador de informação dedicado especificamente às redes sociais, a página diz que “não são enviados dados para as redes sociais, de acordo com as melhores práticas. Apenas é incorporado código das redes sociais no autenticação.gov, o qual pode ser usado caso o método de autenticação selecionado pelo utilizador seja através de uma rede social”.

João Pina diz ainda que o mesmo SDK está integrado no site do governo – portugal.gov.pt – e que ambas as páginas têm a plataforma de análise de dados Analytics da Google. João Pina, porém, vê maior gravidade na plataforma de SDK do Facebook pela associação que a rede social pode fazer do acesso ao site com outras informações que já tem dos utilizadores e pelos escândalos de privacidade que tem vivido nos últimos anos.