Uma visita ao tribunal por causa de SQL injection

Resumo

• Segundo a Lei de Liberdade de Informação (FOIA) de Illinois, a maior parte das informações mantidas por órgãos públicos deve ser divulgada, mas a cidade de Chicago negou um pedido via FOIA alegando que o esquema do banco de dados (schema) poderia representar um risco de segurança. Em resposta, o jornalista de dados Matt Chapman entrou com uma ação e, por meio de depoimento técnico especializado, demonstrou que o esquema não constitui uma ameaça à segurança, vencendo em primeira instância e na apelação, mas perdendo por fim na Suprema Corte de Illinois.
• A Suprema Corte interpretou que o esquema do banco de dados se enquadra como "layout de arquivo" e, portanto, não está sujeito à divulgação, abrindo caminho para que órgãos públicos rejeitem pedidos de acesso à informação com base na estrutura do banco de dados. No entanto, foi apresentado um projeto de lei (SB0226) para resolver essa questão, incluindo a exigência de que órgãos públicos descrevam a estrutura do banco de dados para que o solicitante possa pedir consultas de dados específicas.
• Esse projeto é uma medida importante para reforçar a transparência da informação, e é necessário entrar em contato com deputados estaduais da região para pedir a aprovação da proposta.

Contexto

• A Lei de Liberdade de Informação (FOIA) de Illinois é robusta e, na maioria dos casos, as informações coletadas por órgãos públicos são consideradas patrimônio público.
• Pedidos de informação podem ser feitos de forma simples por e-mail, e a resposta deve ser dada legalmente em até 5 dias.
• A principal limitação da FOIA é que ela não pode obrigar a criação de novos registros.
• O esquema de banco de dados descreve a estrutura do banco de dados e se torna cada vez mais importante à medida que mais informações de órgãos públicos passam a ser armazenadas em bancos de dados.

Matt Chapman vs. Cidade de Chicago

• Matt Chapman é um especialista em jornalismo de dados baseado em grandes solicitações via FOIA.
• O sistema CANVAS de Chicago é um grande banco de dados que gerencia centralmente dados de multas de estacionamento, e Matt solicitou o esquema desse banco, mas teve o pedido negado.
• Chicago recusou a divulgação alegando que isso poderia ameaçar a segurança do sistema, e Matt entrou com uma ação judicial em resposta.

Quando eu subi ao banco das testemunhas

• Houve debate sobre se a divulgação de um esquema de banco de dados ameaça a segurança.
• SQL injection é um dos principais métodos de ataque a bancos de dados, e discutiu-se se o esquema do banco poderia ser usado nesse tipo de ataque.
• Em meu depoimento, enfatizei que ataques de SQL injection não são realizados por meio do esquema do banco de dados.

O rastro sangrento da lei

• Houve vitória em primeira instância, mas Chicago recorreu imediatamente.
• Na apelação, destacou-se que a divulgação da informação precisaria ter altíssima probabilidade de ameaçar a segurança.
• Por fim, a Suprema Corte de Illinois decidiu que o esquema do banco de dados pode ser considerado um layout de arquivo.

Situação atual

• Órgãos públicos de Illinois agora têm autoridade para negar a divulgação de esquemas de bancos de dados.
• Bancos de dados não devem se tornar um meio de ocultar informações, e o novo projeto de lei SB0226 pode resolver isso.
• O projeto determina que a estrutura do banco de dados deve ser explicada de forma suficiente para que o solicitante possa pedir consultas específicas.