Meus 2 cents,
Aqui tem os emails de contato (via email):
https://www.gov.br/cisc/pt-br/incidente
Faca uma conta no proton e mande por la (se quiser ficar anonimo).
Se quiser garantir o anonimato, acesse o proton usando um navegador tor.
Mande com copia para: [email protected]
Esse canal de comunicação não foi feito para reportar falha de segurança. Inclusive o próprio título diz incidente, que são eventos de ataques de segurança. E como diz na página:
Atenção: este canal de comunicação destina-se apenas aos órgãos do SISP para incidentes cibernéticos relacionados aos seus ativos de informação. Caso você seja um cidadão e possui alguma necessidade relacionada à segurança, utilize o serviço Fala.BR para que seja devidamente atendido pelo órgão competente.
Não existe nenhum canal de comunicação para reportar falhas de segurança em sistemas do governo brasileiro.
De qualquer forma é uma péssima ideia reportar. Todo mundo que reportou se arrependeu. Já cansei de ler relatos de pessoas que tentaram e só arrumaram dor de cabeça por causa disso.
Meus 2 cents extendidos,
Caso o autor nao queira se identificar recomendei o uso de proton e rede tor.
Na pagina em questao, esta descrito:
São exemplos de tipos de incidentes para fins de inclusão na notificação:
...Uso ou acesso não autorizado a sistemas ou dados...
...Entre outros
Infere-se a possibilidade de uso para o report de vulnerabilidades como a citada pelo autor.
Quanto o fato de nao ser um "incidente", o CERT.br identifica:
Um incidente para o CERT.br é qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas ou redes de computadores, que possa comprometer a confidencialidade, integridade ou disponibilidade de dados.
Dai a interpretacao como passivel de uso do canal relatado para tal procedimento.
Somando-se ao isso, tambem sugeri o envio para [email protected] caso o canal oficial nao seja o mais adequado. Os profissionais do CERT.br sao bem amistosos quanto ao recebimento deste tipo de alerta.
Sobre relatar ou nao o problema, eh uma questao de foro intimo do autor - que perguntou sobre como relatar e evitar dor de cabeca (no que procurei ser pragmatico e assertivo)
No mais, sobre esta questao "relatar ou nao relatar", acredito que foi tratada de forma eloquente faz algum tempo por filosofos:
Sócrates (segundo Platão, na Apologia) “O pior mal para uma cidade não é a desordem, mas a indiferença dos cidadãos.”
No espírito da Apologia, Sócrates insiste que sua missão era despertar os cidadãos, porque a pior coisa não era o erro do governo, mas a apatheia (apatia/indiferença) da pólis.
Saude e Sucesso !
Incidente de segurança e vulnerabilidade de segurança são termos bem definidos na área e se tratam de coisas distintas, não é passível de subjetividade nem opinião.
Infere-se a possibilidade de uso para o report de vulnerabilidades como a citada pelo autor.
Não existe essa interpretação, está totalmente claro na página que o canal de comunicação é para relatar incidentes de segurança e não para reportar vulnerabilidades de segurança. Vou repetir: a diferença entre incidente e vulnerabilidade é clara e bem definida na área, conforme comprovado pelas referências no final deste comentário.
Além disso, está bem claro na página que o canal de comunicação é de uso exclusivo pelo SISP. Mesmo que fosse um incidente de segurança (não é), a menos que o autor do post faça parte do SISP ele não deve usar esse canal. Se ele fizesse parte do SISP, não teria feito este post.
No mais, sobre esta questao "relatar ou nao relatar", acredito que foi tratada de forma eloquente faz algum tempo por filosofos:
Isso não tem nada a ver com ética. Vários outros já relataram antes. As vulnerabildiades não foram corrigidas. A única coisa que mudou é que ganharam processos e investigações.
Quer reportar como anônimo? Tá bom, vai na fé. Mas não vai mudar absolutamente nada. Será só mais um email ignorado.
Entenda, colega: Os sistemas do governo brasileiro não são cheios de vulnerabilidade por falta de gente reportando. Tem gente até demais reportando... O buraco é bem mais embaixo. Bem mesmo.
Referências:
Prezado @Silva97,
Obrigado por suas colocacoes !
Apesar de nao concordar com alguns dos pontos elencados, o exercicio do contraditorio eh fundamental para o crescimento do debate.
Anotei seus pontos para futura referencia - valeu !