O Janjômetro é um site que surgiu com a promessa de trazer mais transparência aos gastos públicos relacionados à primeira-dama Rosângela Lula da Silva, a Janja. Criado recentemente, a plataforma reúne informações de fontes oficiais para calcular quanto o governo gastou em eventos, viagens e outras atividades relacionadas à esposa do presidente petista Lula da Silva.

De cara, a ideia parece interessante. Afinal, quem não gostaria de saber como o dinheiro dos nossos impostos está sendo esbanjado? Tanto que, em suas primeiras 24 horas de funcionamento, mais de 10 mil pessoas se cadastraram no site. No entanto, ao olhar mais de perto, o Janjômetro revela problemas graves que colocam em risco tanto a privacidade quanto a segurança dos usuários, além de levantar dúvidas sobre o que está por trás da proposta.

Embora iniciativas de fiscalização sejam extremamente bem-vindas, é essencial que respeitem as leis e ofereçam garantias claras de proteção aos usuários. Falhas em segurança e privacidade não apenas comprometem a experiência de quem utiliza o serviço, mas também podem prejudicar a credibilidade de uma iniciativa que, em essência, é muito relevante e necessária.

Quem está por trás do Janjômetro?

Quando acessamos o site do Janjômetro, nos deparamos com uma caricatura da primeira-dama Janja, criada pelo animador e youtuber André Guedes, retratada segurando maços de dinheiro. Abaixo, o slogan "medindo quanto ela esbanja do seu suor" acompanha um contador que exibe o valor acumulado de gastos públicos relacionados à primeira-dama, já ultrapassando os 63 milhões de reais. Logo abaixo, há um formulário de cadastro para acessar mais detalhes, receber alertas e colaborar com o projeto. Para acessar as informações do site, é necessário realizar esse cadastro.

Embora o tom seja cômico e divertido, o conteúdo do site desperta preocupações relevantes. Não há qualquer informação sobre quem administra ou financia a plataforma, nem transparência sobre os responsáveis por sua operação. Consultamos o registro de domínio e descobrimos que ele foi criado recentemente, em 13 de novembro de 2024, utilizando um serviço que oculta os dados dos proprietários. Quem criou o site tomou precauções para não ser identificado. Essa prática não é ilegal, mas contradiz a proposta de transparência que o site defende.

A única razão pela qual sabemos quem idealizou o site é graças a reportagens da imprensa e publicações nas redes sociais, que identificam o deputado estadual Guto Zacarias (União Brasil-SP), integrante do Movimento Brasil Livre (MBL), como o responsável pela iniciativa. Em sua bio no X (antigo Twitter), Guto se descreve como “Inimigo n° 1 de quem tenta te enganar”. No entanto, a falta de clareza sobre a autoria e o propósito do site levanta dúvidas sobre a coerência dessa autodefinição com a forma como o Janjômetro foi estruturado.

Segundo Lorenzo Ridolfi, especialista em Ciência da Computação, o Janjômetro utiliza o serviço Mailgun para o envio de e-mails. No plano gratuito, o Mailgun permite o envio de até 100 e-mails diários, claramente insuficientes para atender aos mais de 10 mil usuários já cadastrados no site. Para suprir essa demanda, seria necessário contratar um plano pago, com custos que variam de 90 a 210 reais por mês. Esses valores se somam aos gastos com hospedagem e domínio do site, evidenciando o investimento necessário para manter a plataforma operacional.

Riscos e falhas técnicas

Outro ponto controverso é o fato de o Janjômetro exigir cadastro para acessar informações que, em tese, são públicas. Diferentemente de outras iniciativas de transparência, como o Ranking dos Políticos, o Impostômetro e o finado Censurômetro, onde qualquer pessoa pode consultar os dados sem restrições, o Janjômetro obriga o usuário a fornecer informações pessoais como nome, e-mail, telefone e até criar uma senha antes de visualizar qualquer dado.

A pergunta que surge é: por que exigir cadastro e restringir o acesso a informações públicas? Essa barreira não apenas limita o acesso, mas também levanta preocupações sobre o uso dos dados coletados. De acordo com os termos de uso do site, as informações podem ser utilizadas para "campanhas políticas similares", mas o texto não explica o que isso significa na prática. Isso abre margem para que os dados sejam usados em propaganda, para fins políticos ou ideológicos com os quais o usuário não concorda, ou até mesmo compartilhados com terceiros, sem que os cadastrados estejam plenamente cientes.

Além disso, o processo de cadastro apresenta graves brechas de segurança. O site solicita senhas, mas não deixa claro como elas são protegidas ou armazenadas. Não há evidências de medidas básicas contra ataques de força bruta, como bloqueios temporários após múltiplas tentativas de login. Isso significa que hackers poderiam explorar essas vulnerabilidades para acessar contas cadastradas, especialmente se os usuários utilizarem senhas repetidas de outros serviços – algo extremamente comum e que foi, inclusive, o método usado para invadir o perfil da própria Janja no X.

Essa fragilidade ficou ainda mais evidente na instabilidade que o site apresentou em suas primeiras 24 horas de operação. Segundo Cauê Del Valle, chefe de gabinete do deputado responsável pela iniciativa, mais de 10 mil pessoas realizaram cadastros nesse período, o que teria provocado falhas no sistema. Embora atribuída ao grande número de acessos, essa instabilidade pode estar diretamente relacionada à falta de infraestrutura robusta para suportar tráfego elevado ou à ausência de mecanismos de defesa contra ataques cibernéticos, como DDoS.

Embora o provedor de hospedagem Vercel ofereça serviços como firewalls de aplicação web (WAF) e proteção contra ataques de negação de serviço (DDoS), não está claro se o site analisado está utilizando essas ferramentas. Esses recursos são fundamentais para mitigar tráfego malicioso e proteger a estabilidade e a confiabilidade do site, mas a ausência de informações específicas sobre sua implementação deixa dúvidas sobre o nível de proteção adotado.

Sem essas medidas, o site torna-se vulnerável a ataques de força bruta, SQL Injection e DDoS, colocando em risco a privacidade dos dados coletados e a integridade de sua operação. Isso é especialmente alarmante, considerando que o site exige informações pessoais, como nome, e-mail e telefone, armazenando esses dados sem fornecer garantias sólidas de proteção contra acessos indevidos ou vazamentos.

Essas falhas são agravadas pela ausência de garantias claras sobre como os dados coletados são protegidos. Não há menções a criptografia para senhas, controle de acessos não autorizados ou políticas contra vazamentos. Essa falta de cuidado expõe os usuários a riscos desnecessários, enquanto as promessas de segurança e proteção feitas nos termos de serviço não são claramente detalhadas ou aplicadas.

Para testar o sistema, fizemos cadastro no site utilizando um e-mail genérico inexistente (email_generico_que_nao_existe_do_david_agape@gmail.com) e um telefone fictício da China (+86 11111 11 111 1111). Surpreendentemente, conseguimos acessar o site sem problemas. Embora não tenhamos conseguido enviar sugestões, que exigem confirmação de e-mail, o fato de ser possível acessar informações usando dados falsos revela que o site não valida adequadamente as informações fornecidas pelos usuários.

Possível violação da LGPD

Além dos problemas de segurança e privacidade, o Janjômetro apresenta uma série de falhas em relação à Lei Geral de Proteção de Dados (LGPD), legislação brasileira que regula a coleta, uso, tratamento e armazenamento de dados pessoais. Em vigor desde 2020, a LGPD estabelece normas para que organizações tratem dados de forma ética e transparente. Ela exige que toda plataforma que trate dados pessoais:

• Informe claramente quem é o responsável pelo uso das informações, ou seja, o controlador dos dados;

• Detalhe com exatidão para que as informações serão utilizadas;

• Ofereça mecanismos acessíveis para que os usuários exerçam seus direitos, como solicitar exclusão de dados, corrigir informações erradas ou revogar o consentimento.

O Janjômetro, no entanto, falha em praticamente todos os aspectos exigidos pela LGPD. O site não informa quem é o controlador dos dados coletados, seja pessoa física ou jurídica, e tampouco detalha com clareza para que as informações serão usadas. Os termos mencionam "campanhas políticas similares", mas quais campanhas não são especificadas. Além disso, o site não oferece canais claros para que os usuários solicitem exclusão de dados ou exerçam outros direitos previstos pela legislação.

As violações à LGPD podem gerar penalidades, incluindo multas de até 2% do faturamento anual da organização, limitadas a R$ 50 milhões por infração, além da suspensão das atividades de tratamento de dados ou proibição de coletá-los. Embora o Janjômetro não seja uma entidade comercial com faturamento declarado, seus vínculos políticos podem levar à aplicação dessas sanções. Além disso, usuários que se sentirem lesados podem buscar reparação judicial por danos morais ou materiais.

A Autoridade Nacional de Proteção de Dados (ANPD) também pode abrir investigações sobre o site, aplicando sanções administrativas ou exigindo a suspensão das atividades de tratamento de dados.

O que diz o deputado

Entramos em contato com o deputado Guto Zacarias, responsável pela criação do Janjômetro. Segundo ele, ajustes técnicos e jurídicos estão sendo realizados pela equipe responsável, mas garante que nenhum deles compromete a veracidade das informações ou a credibilidade dos dados apresentados pelo Janjômetro. Sobre a coleta de dados, Guto afirma que se trata de um cadastro voltado para o envio de notificações sobre os gastos da primeira-dama, como forma de manter as pessoas informadas. No entanto, ele avalia possíveis mudanças para aprimorar o funcionamento da plataforma.