Como bloquear seu E-Token Alladin eCNPJ E3 e sentir-se assaltado
Este Blog tem como objetivo alertar o abuso ocorrido aos novos proprietários do E-Token Alladin da empresa Certisign, quanto ao problema de Bloqueamento após a digitação, muitas vezes duvidosa, da senha errada 15 vezes.
Após pagar o absurdo de R$ 450,00 pela aquisição do E-Token junto com o certificado digital da minha empresa, agendei o atendimento para a retirada do produto em um dos postos de credenciados da Certisign. Lá fui instruído a cadastrar uma senha para uso do token quando necessitasse, algo comum, vide cartões de débito e crédito que possuem o mesmo critério.
Aqui já começam as discordâncias pelo serviço prestado pela Certisign. Assinei um documento dizendo que o produto encontrava-se em perfeito funcionamento. Pois bem você não pode sair com o produto, caso negue a assinar o tal documento. O problema é que você até aquele momento não sabe onde e como usar este tal certificado digital. O que quero dizer é que a única coisa que o posto de atendimento fez para garantir que a senha estava funcionando, foi abrir um programa deles e pedir para digitar a senha cadastrada, caso você informe corretamente corretamente o programa respondia que estava OK.
Bem, saí com o devido token em meus blosos, mas sem a menor ideia de como instalar em minha máquina, em qual aplicativos usar e quais seriam os termos e garantias daquele produto entregue.
Passaram-se alguns dias até que precisei utilizar o etoken para uma procuração eletrônica. Ao plugar o token na porta USB fui deparado com um erro de dispositivo não encontrado. Depois de muito procurar na internet, descobri que era necessário a instalção do aplicativo eToken PKI Client no computador para que o mesmo fosse reconhecido. É querido usuário, não tem manual é necessário descobrir sozinho ou ligar para central de relacionamento da Certisign.
Após instalado o programa e reiniciado o computador, pluguei novamente o token e o computador aparentemente reconheceu o produto, pois não reclamou mais de dispositivo não reconhecido. Seguindo as instruções de meu contador para realizar a procuração digital, ao abrir o navegador de internet com o token plugado, me deparei com uma caixa de solicitação de senha do etoken como mostrado abaixo:
Digitei, algumas vezes a senha cadastrada e a mesma não funcionou. Não sei se neste ponto eu esqueci a senha ou se digitei correto e não funcionou. O fato é que a cada digitação de senha, o navegador pensava e me mostrava novamente esta tela de senha mestra para o eToken. Aqui é que começa a verdadeira confusão de utilização deste token. É comum que após a digitação de uma senha errada, o aplicativo informe que a senha cadastrada não confere e que é necessário inserir a correta. Uma coisa muito óbivia, mas que para o pessoal da Certisign parece não importar, porque a cada vez que eu digitava a senha e o token não entendia que era correta e retornava a mesma tela, sem informar nada ao usuário.
Como eu não entendia o que estava acotnecendo, eu decidir realizar o mesmo procedimento em outro navegador, desta vez o Internet Explorer (IE) da Microsoft, anteriormente o navegador utilizado foi o FireFox. Aqui novamente uma surpresa, após abrir o navegador IE e acessar o site da receita no portal eCac veja o que é apresentado:
No IE eu tive um comportamento totalmente diferente. A tela acima avisa que estou tentando acessar um recurso que requer o uso da certificação digital e reconhece o token da minha empresa. Então eu confirmo a operação clciando em OK. Após esta confirmação, me aparece a seguinte tela:
Compare bem, a tela mostrada no Firefox com a do IE acima, e veja que no IE parece que foi aberta a do aplicativo PKI Client, e no título já identificamos que é uma tela de Log on. Aqui começam novamente as surpresas, após digitar a senha, esta tela me informa que o meu token está bloqueado, mesmo que em inglês apensar da lingua ser portuguesa (PT):
Olha que diferença de comportamento: No Firefox ele não me avisa nada, somente pede a senha nvoamente. No IE ele avisa com a seguinte frase: eToken is locked, em inglês. Bem eu entendi, meu token está bloqueado. Apesar de não possuir manual de instrução eu arrisco um palpite que seja devido a quantidade de vezes que eu informei a senha errada. Fiquei com a sensação que se utilizasse o IE desde o início, esta tela me chamaria alguma atenção de este bloqueio iria acontecer após algumas tentativas, o que foi completamente diferente no FireFox.
Bem, com meu token bloqueado e sem nenhum manual de instruções, para saber o que havia ocorrido, tive que ligar para a central de relacionaemnto da Certisign. E aqui novamente um surpresa: Descobri que após 15 tentativas de senha erradas (não sei ainda se consecutivas ou não) o token é bloqueado automaticamente. A primeira pergunta que me passou naquele momento foi: Como eu faço para resetar ou desbloquear este aparelho? E para minha supresa maior ainda foi a seguinte resposta:
Não é possível desbloquer ou resetar a sua senha Original. O senhor terá que solicitar um novo certificado, pagando um valor de R$ 250,00.
É isso mesmo, apesar de qualquer especialista em segurança digital saber que senha e certificado digital são completamente independentes, a Certisign informa que após bloqueado o token, seu certificado precisa ser revogado para a geração de um novo. Ora, a chave púbica e privada de um certificado e suas autoriadades nada tem haver com a senha do etoken. O etoken é um produto para carregar o certificado com segurança e nada mais. Então vamos juntar os fatos:
1 - Você paga por um produto de R$ 450,00
2 - Após atendimento e recebimento do produto, você não recebe manual, não sabe como usar, nao recebe termo de garantia e nem sabe quais são as regras de segurança daquele token
3 - O comportamento deste produto varia conforme o navegador que você utiliza, como no meu caso no Firefox foi uma coisa e no IE foi completamente diferente. A experiência do usuário é sempre diferente.
4 - Após descobrir que você bloqueou o token devido a uma regra de 15 vezes digitado errado, apesar de nenhum momento você saber disso, existe a obrigação da geração de um novo certificado e o pagamento de R$ 250,00.
Depois de muito pesquisar em sites de reclamação, notei que diversas pessoas tiveram este constragimento e problema com a Certisign.
É este tipo de empresa que recebe do governo o alvará para prestar serviços de certificação digital?
É este produto que a empresa entrega? Um token sem caixa, sem manual, sem informações de uso? Ela acha que o consumidor tem a obrigação de saber ou se virar para saber, ligando para 0300 e sendo cobrado por isso?
E se o token for bloqeuado? Cobrar R$ 250,00 por um novo? A maioria possui senha de cartão de banco e nem por isso quando se perde ou se esquece a senha, é necessário desembolsar um valor absurdo por isso e muitas vezes os bancos nem cobram por isso.
Senhores empresarios ou consumidores, pensem muito bem antes de adiquirir um etoken desta empresa ou se sentiraão lesados como eu e diversas pessoas já foram. Espero que com este artigo esta empresa possa prestar um serviço melhor do que vem oferencedo.
Att,
Rafael Antonio
