As plataformas australianas utilizadas pelos agentes imobiliários para carregar documentação para inquilinos e proprietários estão a deixar as informações pessoais das pessoas expostas em hiperligações acessíveis online.
Uma análise de sete plataformas de aluguer fornecidas ao Guardian Australia por um investigador, que desejou permanecer anónimo, revelou que os agentes da ameaça podiam aceder a milhões de documentos de aluguer.
Inscreva-se: e-mail de notícias de última hora da UA
Os agentes imobiliários gerenciam diariamente dados confidenciais de inquilinos e proprietários, incluindo aluguéis, documentos de identificação, folha de pagamento e referências pessoais. As plataformas online permitem que os agentes armazenem esses documentos na nuvem e os tornem acessíveis através de hiperlinks.
O pesquisador descobriu que esses links podem ser verificados por rastreadores da web e armazenados em cache.
A Guardian Australia viu seis exemplos de contratos de arrendamento, referências pessoais e de empregadores e outros documentos disponíveis online. Embora os links estivessem ocultos por caracteres aleatórios, você não precisava fazer login para visualizá-los.
O pesquisador identificou que a plataforma subjacente utilizada pelas locadoras facilita o acesso aos documentos simplesmente adicionando ou subtraindo um número na URL que as imobiliárias enviam aos potenciais inquilinos.
O pesquisador disse que os documentos datam de 2017, sendo que o primeiro código de convite foi 1 e agora chega a 4 milhões.
Em outro caso, o pesquisador conseguiu acessar um arrendamento graças ao uso de encurtadores de URL em uma plataforma, que facilitam a adivinhação dos URLs. Uma vez acessado o aluguel, a plataforma disponibilizou um cookie de autenticação, dando acesso a todo o histórico de locação, manutenção e demais documentos do proprietário.
A Inspection Express, plataforma identificada por permitir o acesso a hiperlinks sem necessidade de autenticação, disse ter realizado uma revisão de como seus links de documentos são acessados e compartilhados. Afirmou neste mês que melhorou sua segurança, depois que o pesquisador relatou o problema diretamente à empresa no ano passado.
“O Inspection Express não torna os documentos dos clientes visíveis publicamente ou indexáveis pelo Google ou outros mecanismos de busca”, disse um porta-voz. “Os documentos são acessados por meio de links controlados e não são publicados na web aberta pela nossa plataforma, e nossa análise não identificou nenhuma descoberta na web aberta.”
“As melhorias incluem links para documentos que expiram automaticamente após um número limitado de acessos ou um período de tempo definido, juntamente com restrições adicionais ao compartilhamento e cópia de links”, disse o porta-voz. “Os destinatários pretendidos podem solicitar com segurança um novo link, se necessário.”
Outra plataforma identificada pelo pesquisador implementou uma medida de segurança adicional que exige que o usuário insira seu CEP antes de acessar o documento.
Várias plataformas participantes da investigação não responderam aos pedidos de comentários e não responderam ao investigador.
Samantha Floreani, defensora dos direitos digitais e doutoranda em análise de tecnologia de aluguer, disse que a investigação mostrou uma grave falta de atenção à privacidade e segurança na indústria.
“É terrível que, meses depois de serem notificadas sobre essas vulnerabilidades, a maioria das empresas não tenha feito nada”, disse ele. “Isto é um desrespeito flagrante e preocupante pela lei e pela segurança das pessoas.
“Embora estas empresas obtenham lucros ao se inserirem como intermediários entre inquilinos, agentes e proprietários e ao coletarem grandes quantidades de dados, os benefícios para os inquilinos são, na melhor das hipóteses, questionáveis”.
Floreani disse que, se não forem controladas, as empresas colocarão em risco um grande número de australianos.
“Os inquilinos têm muito pouco poder para recusar a utilização destes sistemas porque dizer não pode resultar em retaliação, numa má referência ou simplesmente na perda total de uma casa”, disse ele.
“Não ter outra opção a não ser usar estas plataformas para aceder e reter habitação, e depois deixar desprotegida a informação que somos forçados a entregar, é acrescentar insulto à injúria num sistema que já é profundamente desumanizador.”
Um porta-voz do Australian Information Commissioner's Office disse que a agência não recebeu notificações das plataformas sobre possíveis violações de dados.
O porta-voz disse que a crescente demanda das empresas imobiliárias e de aluguel para que as pessoas entreguem suas informações pessoais para alugar aplicativos de tecnologia é uma “prioridade fundamental” para a OAIC este ano.
“É um setor que cria desequilíbrios de poder e informação, e (a OAIC) está atualmente examinando plataformas de tecnologia de aluguel”, disse o porta-voz.
