Expresso estaria no alvo de espiões? Foto: flickr.com/photos/dunechaser

O Expresso, software de correio eletrônico open source mantido pela Celepar, empresa estatal de tecnologia do estado do Paraná e base do plano do governo brasileiro para criar um serviço de e-mail nacional, está em sérios apuros.

No domingo, 02, a Gazeta do Povo, jornal paranaense de maior circulação, afirmou, baseado em parecer técnico da Polícia Científica ao qual teve acesso, que o governo do estado estava espionando os e-mails de funcionários das polícias Científica, Civil e Militar, além da Receita Estadual. 

Ainda de acordo com a Gazeta do Povo, as contas de e-mails corporativos do Expresso Livre Mail eram invadidas por um usuário secreto, o “Administrador Expresso Sesp”, sem que os titulares das contas tivessem conhecimento.

Ao longo da semana, a Polícia Científica, de onde surgiu o relatório vazado à Gazeta, divulgou uma nota negando que o seu relatório original mencionasse invasões. 

Segundo o órgão, apenas foi apurado que algumas contas “apresentavam a opção de compartilhamento habilitada para a conta de nome “Administrador Expresso Sesp” e login “sesp-administrador”. 

Em tese, a existência desse compartilhamento permitiria invasões como as relatadas pela Gazeta.

A Celepar também divulgou uma nota negando a existência de invasões com base em uma análise técnica do histórico das contas feito no domingo, 02, mesmo dia no qual a matéria foi publicada, por técnicos da estatal acompanhados por representantes da área de Segurança Pública do estado.

Segundo a estatal, a habilitação da funcionalidade de compartilhamento das contas com o usuário “Administrador Expresso Sesp” ocorreu numa operação de manutenção do sistema, em junho de 2013, era vísivel para os usuários e podia ser removida.

A nota da Celepar não diz qual seria o nível de domínio da ferramenta que um usuário necessitaria para fazer tal remoção, ou se a visibilidade da habilitação do acesso de terceiros incluiu algum tipo de aviso explícito.

Independente da guerra de versões, as polícias Civil, Militar e Científica do estado devem abandonar o software de e-mail em favor de uma solução hospedada em seus próprios servidores, enquanto o Ministério Público do Paraná planeja adotar o Google Apps for Business.

Na sua última matéria sobre o caso, a Gazeta do Povo diz que as migrações para outros serviços acontecerão após a Copa do Mundo, sem citar quais seriam as fontes da informação.

De acordo com a publicação, a decisão de mudança já havia sido tomada pelas polícias antes mesmo de a espionagem vir à tona e seria “senso comum” no meio policial que trafegar informações sigilosas por meio de “uma empresa” não é seguro. No caso do MP, a decisão seria baseada na qualidade do produto.

O Paraná é um dos maiores usuários do Expresso. O sistema está instalado nas 23 secretarias de estado, Casa Civil, Procuradoria-Geral do Estado, Casa Militar, institutos, autarquias e entidades ligadas a elas, além de 19 prefeituras do estado e o Ministério Público do Paraná.

Ainda está por se ver se o imbroglio paranaense terá algum efeito nos planos do governo federal de transformar o Expresso em uma solução de correio eletrônico brasileira, imune a tentativas de espionagem de agências estrangeiras como a NSA, por exemplo.

Em julho do ano passado, o Serpro, estatal federal de processamento de dados, lançou o Expresso v3, uma solução de correio eletrônico, produtividade e videoconferência que será oferecido a órgãos de governo e empresas públicas por R$ 3,43 mensais o usuário.

O valor cobre hospedagem e suporte e uma conta inicial de 500 MB. A nova versão também roda em tablets e smartphones. Entre os primeiros usuários está o a própria estatal, com 11.721 contas.

Inferior em quesitos como tamanho da caixa o software tem seu principal ponto de venda na  orientação do governo no sentido de não hospedar dados no estrangeiro.

E se os espiões estão aqui mesmo, no Brasil?