Falha de segurança no Portal das Finanças corrigida 6 meses após denúncia de jovem programador

(dr) Laura Haanpaa

Uma falha informática no Portal das Finanças permitia alterar a palavra-passe da conta de qualquer pessoa bastando, para isso, ter apenas o número contribuinte. Seis meses depois do alerta ter sido dado, a falha foi corrigida.

O alerta foi dado por um estudante de Engenharia do Instituto Superior Técnico, conta a revista Exame Informática que avançou a notícia. Miguel Moura, jovem programador de 22 anos, detalhou o processo no seu site e disse que esperou que o Portal das Finanças resolvesse o problema antes de o divulgar – prática habitual na área da cibersegurança.

“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse o estudante em declarações ao Público.

O estudante descobriu várias vulnerabilidades graves no portal. Miguel de Moura descobriu que bastava ter um qualquer número de NIF para conseguir descobrir o número de telemóvel que lhe está associado.

Outra das fragilidades foi encontrada na zona da plataforma destinada para “Recuperar Senha”, que permitia avançar sem ter de responder à “Pergunta Secreta”.

A falha mais grave permitia mudar a senha de qualquer NIF. Miguel de Moura explicou à Exame Informática que, para isso, bastava seguir os passos habituais dos formulários presentes no processo de recuperar senha e que a falha apenas surgia na última página.

Basicamente, o atacante podia usar o seu próprio NIF e telemóvel associado – uma vez que é enviado um código SMS para avançar com o processo de recuperação de password – e só no final é que poderia tirar partido da vulnerabilidade para trocar o seu NIF pelo da vítima, passando assim a ter acesso à conta fruto da utilização da nova palavra-passe.

Processo levou mais de 6 meses

Miguel Moura quis denunciar as falhas que havia encontrado, mas o processo foi longo – cerca de 6 meses. O programador começou por ligar para a linha de suporte do Portal das Finanças vezes e, de seguida, para a Comissão Nacional de Proteção de Dados (CNPD) em janeiro deste ano.

Como não obteve resposta, apresentou queixa à CNPD em março e voltou a contactar a linha de suporte em abril. E novamente em maio. Após uma chamada de mais de 36 minutos, Miguel Moura conseguiu finalmente falar com alguém capaz de resolver os problemas, tendo as falhadas sido corrigidas em junho.

Miguel Moura reconhece que é complicado reportar estas situações porque é difícil “chegar às pessoas” salientando, no entanto, que depois de conseguir entrar em contacto com as entidades competente tudo correu de forma fluída.

O programador sugeriu a criação de um mecanismo que torne mais fácil a denúncia de vulnerabilidades diretamente à equipa responsável e a realização de auditorias. Já que, para Miguel Moura, “qualquer pessoa poderia ter encontrado estas falhas”.

ZAP //

PARTILHAR

RESPONDER

Luzes nas redes de pesca? Os golfinhos e as tartarugas agradecem

A implementação de luzes nas redes de pesca reduz a probabilidade de tartarugas marinhas e de golfinhos serem apanhados por acidente. Luzes LED nas redes de pesca eliminariam a "captura acidental" de tartarugas marinhas em mais …

Presidente da República passa o fim de ano na ilha do Corvo

O Presidente da República, Marcelo Rebelo de Sousa, vai passar a noite de 31 de dezembro para 1 de janeiro na ilha do Corvo, nos Açores, de onde será transmitida a sua mensagem de Ano …

O calor extremo está a fazer com que os bebés nasçam mais cedo

Investigadores descobriram que o calor extremo faz com que os bebés nasçam mais cedo. Tal como quase tudo neste mundo, as coisas só vão piorar com as alterações climáticas. Segundo o Science Alert, os dois investigadores …

Empresa está a contratar uma pessoa que será paga para usar pijamas e dormir

Um start-up de colchões da Índia, que se descreve como uma "empresa de soluções para dormir" está a contratar alguém que será pago apenas para fazer isso mesmo. O objetivo é testar os seus produtos de …

O primeiro local funerário de compostagem humana do mundo abre em 2021

Prevê-se que a primeira instalação funerária de compostagem humana do mundo abra na primavera de 2021, depois de os legisladores do Estado de Washington terem legalizado o processo póstumo no início do ano. A empresa Recompose, …

Estado emprestou dois milhões à Cruz Vermelha para pagar salários

A Parpública SGPS emprestou dois milhões de euros ao Hospital da Cruz Vermelha, nomeadamente para fazer pagamento de salários. A Parpública SGPS, holding tutelada pelo Ministério das Finanças, libertou dois milhões de euros para permitir ao …

Ex-ministro francês François Bayrou acusado de cumplicidade na apropriação de fundos

O ex-ministro francês François Bayrou, dirigente centrista e próximo de Emmanuel Mácron, foi acusado na sexta-feira por "cumplicidade na apropriação indevida de fundos públicos" no caso dos assistentes parlamentares do seu partido. A acusação, "anunciada antecipadamente …

"Profundamente envergonhada", Merkel visitou Auschwitz pela primeira vez

A chanceler alemã, Angela Merkel, visitou esta sexta-feira pela primeira vez o campo de concentração e extermínio de Auschwitz-Birkenau num "sinal de reconciliação com os judeus e o estado de Israel", considera o historiador René …

Capital do Natal de Algés avança com queixa-crime contra promotores

A organização da Capital do Natal, evento que decorre em Algés, Oeiras, vai apresentar uma queixa-crime contra os promotores turísticos que "adulteraram a oferta do parque", o que defraudou "um conjunto alargado de pessoas". Em causa …

Menino de 5 anos convidou todos os colegas do infantário para assistir à sua adoção

Um menino de cinco anos de Michigan, nos Estados Unidos, convidou a sua turma do infantário para testemunhar à sua adoção legal. A criança, identificada como Michael, foi adotada formalmente pela sua nova família na passada …