Tem domínio .br? Então está com dados expostos na internet

Registrou o domínio do seu site ou blog .com.br com o próprio nome e CPF? Cuidado: eles estão disponíveis para qualquer um.
6
811

Você que é dono de um site pessoal — blogs ou outros que não configurem atividade comercial — vê o projeto crescer e resolve sair do amadorismo. Começa investindo no básico, como hospedagem e domínio próprio, e por não ter CNPJ, faz o registro no seu nome. Sabia que, ao registrar o domínio .br em seu nome, ficou com os dados expostos?

Quais dados? Todos eles: nome completo, endereço, CPF, telefone, e-mail...

No Brasil, o site Registro.br é o responsável pelo registro de nomes de domínio. É um departamento do NIC, que é o Núcleo de Informação e Coordenação de Ponto, entidade que gerencia registros e manutenção desse serviço, entre outras atribuições. Quando registramos um domínio — aquele nome bonito que ajuda o visitante a localizar o site como "www.seusite.com.br" em vez de uma sequência horrível de números —, ele fica atrelado ao identificador seu (CPF) ou da empresa (CNPJ). No ato, devem ser fornecidos seu nome, número de documento, endereço residencial / comercial, e-mail, entre outros.

Até aí, tudo bem. O problema é que os dados ficam disponíveis publicamente. Por publicamente, não entenda "a justiça pode requisitar", não. Entenda "qualquer um pode fazer uma pesquisa e em 10 segundos obterá sua ficha pessoal completa".

"Por que problema, está planejando fazer algo errado?". Não, mas o fulano com intenções desconhecidas — e uma ferramenta de busca WhoIs — pode fazer sabe-se lá o quê. O WhoIs é um protocolo (um tipo de comunicação) dedicado à esse tipo de consulta. Ao consultar o endereço do seu site ou blog numa página como essa, de WhoIs com contatos, qualquer santo ou vagabundo terá TUDO sobre você, à mercê de todo tipo de sacanagem, como abertura de cadastros, crediário em lojas com sistemas pouco seguros, falsificação de documentos mais simples, e por aí vai...

Por que ficam disponíveis?

Segundo o Registro.br, é uma norma do ICANN fornecer informações claras sobre os donos de domínio para fins legais. Se você criar um site com discurso de ódio, pornografia infantil e outras aberrações, será fácil identificá-lo como dono do domínio (pelo menos na teoria, veja adiante). Ao registrar um domínio em qualquer lugar do mundo, você está automaticamente concordando com os termos o ICANN.

Muito justo. Mas se você der uma lida nos termos do ICANN que falam especificamente do fornecimento público de dados:

3.3 Acesso Público os Dados em Nomes Registrados. Durante os Termos deste Acordo:

3.3.1 Às suas custas, Registrar deve fornecer uma página web interativa e uma porta 43 para serviço Whois, provendo acesso baseado em pesquisa pública gratuita e atualizada (ao menos diariamente) aos dados relativos a todos os Nomes Registrados mantidos pelo Registrar para cada TLD ao qual é creditado. A acessibilidade aos dados deve consistir de elementos que são designados de tempo em tempo de acordo com as regras ou especificações adotadas pelo ICANN. Até que o ICANN especifique o contrário de uma regra ou especificação do ICANN, estes dados devem consistir dos seguintes elementos, como contidos no banco de dados do Registrar:

3.3.1.1 O nome do Nome Registrado;
3.3.1.2 Os nomes de nameservers primário e secundário para o Nome Registrado;
3.3.1.3 A identidade do Registrar (que deve ser fornecida através do website do Registrar);
3.3.1.4 A data original da criação do registro;
3.3.1.5 A data de expiração do registro;
3.3.1.6 O nome e código postal do Holder do Nome Registrado;
3.3.1.7 O nome, código postal, endereço de e-mail, número de telefone de voz, e (se disponível) número de fax do contato técnico do Nome Registrado; e
3.3.1.8 O nome, endereço postal, endereço de e-mail, número de telefone de voz, e (se disponível) número de fax do contato administrativo do Nome Registrado.

O Registrar é o registrador de domínios — fazemos diretamente pelo Registro.br, ou por um intermediador, no caso de quem contrata o domínio com o serviço de hospedagem. Os termos de uso do Registro.br também não falam sobre quais dados serão ou não públicos.

Ou seja: não está escrito em lugar algum que seu endereço completo e números de documentos como CPF precisem ser públicos. É uma falta de respeito e de cuidado com os usuários.

O mais irônico é que pode-se pagar um serviço tipo Whois Privado, e assim ficar anônimo. Sinal que não é tão necessário assim, já que pagou, escondeu, certo? Por que sites criminosos conseguem ficar anônimos, e nós, que temos projetos honestos, somos obrigados a aceitar essa violação?

O que podemos fazer?

NADA ?

Entrei em contato com o Registro.br questionando a legalidade da exposição dos dados, e a resposta assinada por Alessandra Uemura foi:

Os dados disponibilizados na base de dados do Registro são as únicas informações públicas que comprovam a existência da pessoa física e/ou jurídica detentora do nome de domínio. É pré-requisito em registros declaratórios a existência de uma fonte externa pública para validação dos mesmos.

O registro de domínios na internet é uma atividade baseada no princípio da anterioridade da solicitação e no registro público das
informações. Assim sendo, os dados referentes ao detentor de um nome de domínio têm que estar disponíveis para consulta.

O registro brasileiro procura manter a semântica dos Opções de Domínio que administra, que podem apresentar requisitos específicos para registro e para visualização de informações do registrante.

Desta forma, o com.br destina-se a atividades COMERCIAIS na Internet.

O whois tem regras distintas de exibição de dados, para extensões distintas. Assim, o que é exibido sob o com.br e outros domínios destinados a atividades transacionais na rede (e que, portanto, podem acarretar responsabilidades face a internautas que usaram dessas transações) é diverso das extensões que se destinam, simplesmente, a divulgação de informações pessoais, intercâmbio de opiniões, ou simples presença na Internet. As regras do Whois para a extensão com.br mantiveram-se as mesmas, e submetem-se a elas os que se registram sob com.br sejam pessoas físicas, sejam pessoas jurídicas.

Vale notar que a maioria dos sites, mesmo sem atividade comercial, usam .com.br no Brasil. A solução, então, seriam todos mudando de categoria? Ficou subentendido pra mim que o registro de domínio de uma categoria não-comercial, como blog.br, não necessariamente manterá dados pessoais públicos, pois não haveria "atividade transacional", como dados bancários. E esse seria o certo: dados disponíveis só caso a justiça solicite, não abertos. É questão de bom senso.

Mas como se nota em reclamações como essa, mesmo registrando .blog.br, que claramente é uso pessoal, o CPF continua exposto. Como diria o Casoy...

 

Atualização 09/2016: o Registro.br respondeu minha réplica sobre o caso, quando questionei se a exposição não era violação constitucional.

Minha pergunta foi:

"Então, se entendi bem, os dados são divulgados pelo fato de ser .com.br.
Deduzo então que se eu tiver outro sufixo como .blog.br (ou outro, qual seria?), o CPF será mantido guardado ou continua sendo público? A exposição pública do CPF não é violação da Constituição, e deveria ser fornecido só em caso de pedido formal, como da justiça?

A exposição desse dado me parece uma grave ameaça de segurança, já que qualquer pessoa pode usá-lo para, por exemplo, falsificar documentos."

A resposta foi assinada também por Alessandra Uemura:

Sim, para domínios genéricos e com intuito comercial, como o COM.BR, todos os dados são disponibilizados em nosso sistema, para manter a transparência do registro de um nome de domínio.

Já para entidades que detém apenas domínios destinados a pessoas físicas, como o BLOG.BR, os dados apresentados serão o Nome e CPF.

No ato de registro sob com.br essas informações estão claras no Contrato [1] na Cláusula Décima, item III . [1] http://registro.br/dominio/contrato.html

A publicidade das informações contidas na base de dados do NIC.br possibilita comprovar a transparência das atividades inerentes ao registro de domínios, garantir o controle externo das informações depositadas na base de dados e também manter a segurança da rede.

O NIC.br zela pela privacidade e proteção dos dados depositados em sua base de dados, impondo limites técnicos para consultas à base de dados, além de proibir contratualmente a reprodução ou comercialização desses dados.

Então, não importa se o domínio é .com ou .blog: no mínimo o seu CPF continuará divulgado sem a menor necessidade para o mundo. Note que a cláusula citada diz o seguinte: "III. Estar ciente de que os dados cadastrais que instruírem o registro de domínio, ficarão disponíveis aos demais usuários na base de dados do REGISTRO.br".

Sério que para "instruir o registro" precisa exibir CPF? E golpistas não estão preocupados com violações contratuais ao usar os dados, nem terão qualquer limite técnico.

 

Se seu domínio é .br e está no seu nome, nem adianta procurar um Private Whois, porque não tem como usar. Usuário de domínio .pt? Há opções por volta dos 10 euros. Para os demais, o jeito é continuar vulnerável, pois não há lei prevendo punição para exposição de dados pessoais.

O que pode acontecer?

Já tive problema com vazamento de informações. Apareceu no meu nome e CPF a compra de um produto eletrônico, e a única forma de provar que não havia sido eu, foi o nome da mãe. Único dado que os golpistas não obtiveram, inventaram um e foi onde consegui me livrar da dívida.

Há quem, ingenuamente, não veja o menor problema nos dados pessoais circulando por aí. Afinal, sua conta de luz, a nota fiscal da loja e a matrícula do filho na escola também têm tais dados. Mas completos como estão no domínio, não fica difícil usá-los para abrir crédito, crediário, empresas de fachada, e vários outras picaretagens. Se alguém insistir que a preocupação é "neurose", não - acredite.

- Publicidade -

Receba atualizações do Tutoriart

É grátis, e você pode escolher entre receber só sugestões sobre arte, design gráfico, Photoshop, etc, ou só sobre WordPress, blogging, design web, snippets, etc. Ou tudo, se preferir!

Quero assinar...
Ao assinar, você concorda com os Termos de Privacidade.

6 COMENTÁRIOS

  1. O Registro.br não está sujeito a normas da ICANN, que se aplicam apenas a gTLDs, não a ccTLDs como o .br.
    Há normas do IETF para a disponibilização de identificação e contato com o titular do domínio, mas a forma de implementação delas de forma compatível com legislação nacional fica a cargo de cada ccTLD.

    A chave para definições do .br é o art 5o. da Constituição Federal:
    (...)
    "IV - é livre a manifestação do pensamento, sendo vedado o anonimato;"

    Em havendo a necessidade de identificar o autor, o CPF é o único identificador único disponível que evita problemas de homonímia.

    • Não parece ser o caso para quem paga por um WhoIs privado. Por que o CPF precisa ser público, quando poderia ser fornecido por via judicial, evitando assim a exposição aos riscos citados? Como disse, parece falta de bom senso, de razoabilidade.

DEIXE UMA RESPOSTA

Por favor, digite seu comentário!
Por favor, digite seu nome aqui