(dr) Laura Haanpaa
Uma falha informática no Portal das Finanças permitia alterar a palavra-passe da conta de qualquer pessoa bastando, para isso, ter apenas o número contribuinte. Seis meses depois do alerta ter sido dado, a falha foi corrigida.
O alerta foi dado por um estudante de Engenharia do Instituto Superior Técnico, conta a revista Exame Informática que avançou a notícia. Miguel Moura, jovem programador de 22 anos, detalhou o processo no seu site e disse que esperou que o Portal das Finanças resolvesse o problema antes de o divulgar – prática habitual na área da cibersegurança.
“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse o estudante em declarações ao Público.
O estudante descobriu várias vulnerabilidades graves no portal. Miguel de Moura descobriu que bastava ter um qualquer número de NIF para conseguir descobrir o número de telemóvel que lhe está associado.
Outra das fragilidades foi encontrada na zona da plataforma destinada para “Recuperar Senha”, que permitia avançar sem ter de responder à “Pergunta Secreta”.
A falha mais grave permitia mudar a senha de qualquer NIF. Miguel de Moura explicou à Exame Informática que, para isso, bastava seguir os passos habituais dos formulários presentes no processo de recuperar senha e que a falha apenas surgia na última página.
Basicamente, o atacante podia usar o seu próprio NIF e telemóvel associado – uma vez que é enviado um código SMS para avançar com o processo de recuperação de password – e só no final é que poderia tirar partido da vulnerabilidade para trocar o seu NIF pelo da vítima, passando assim a ter acesso à conta fruto da utilização da nova palavra-passe.
Processo levou mais de 6 meses
Miguel Moura quis denunciar as falhas que havia encontrado, mas o processo foi longo – cerca de 6 meses. O programador começou por ligar para a linha de suporte do Portal das Finanças vezes e, de seguida, para a Comissão Nacional de Proteção de Dados (CNPD) em janeiro deste ano.
Como não obteve resposta, apresentou queixa à CNPD em março e voltou a contactar a linha de suporte em abril. E novamente em maio. Após uma chamada de mais de 36 minutos, Miguel Moura conseguiu finalmente falar com alguém capaz de resolver os problemas, tendo as falhadas sido corrigidas em junho.
Miguel Moura reconhece que é complicado reportar estas situações porque é difícil “chegar às pessoas” salientando, no entanto, que depois de conseguir entrar em contacto com as entidades competente tudo correu de forma fluída.
O programador sugeriu a criação de um mecanismo que torne mais fácil a denúncia de vulnerabilidades diretamente à equipa responsável e a realização de auditorias. Já que, para Miguel Moura, “qualquer pessoa poderia ter encontrado estas falhas”.
Fonte: ZAP
