Falha de segurança no Portal das Finanças corrigida 6 meses após denúncia de jovem programador

(dr) Laura Haanpaa

Uma falha informática no Portal das Finanças permitia alterar a palavra-passe da conta de qualquer pessoa bastando, para isso, ter apenas o número contribuinte. Seis meses depois do alerta ter sido dado, a falha foi corrigida.

O alerta foi dado por um estudante de Engenharia do Instituto Superior Técnico, conta a revista Exame Informática que avançou a notícia. Miguel Moura, jovem programador de 22 anos, detalhou o processo no seu site e disse que esperou que o Portal das Finanças resolvesse o problema antes de o divulgar – prática habitual na área da cibersegurança.

“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse o estudante em declarações ao Público.

O estudante descobriu várias vulnerabilidades graves no portal. Miguel de Moura descobriu que bastava ter um qualquer número de NIF para conseguir descobrir o número de telemóvel que lhe está associado.

Outra das fragilidades foi encontrada na zona da plataforma destinada para “Recuperar Senha”, que permitia avançar sem ter de responder à “Pergunta Secreta”.

A falha mais grave permitia mudar a senha de qualquer NIF. Miguel de Moura explicou à Exame Informática que, para isso, bastava seguir os passos habituais dos formulários presentes no processo de recuperar senha e que a falha apenas surgia na última página.

Basicamente, o atacante podia usar o seu próprio NIF e telemóvel associado – uma vez que é enviado um código SMS para avançar com o processo de recuperação de password – e só no final é que poderia tirar partido da vulnerabilidade para trocar o seu NIF pelo da vítima, passando assim a ter acesso à conta fruto da utilização da nova palavra-passe.

Processo levou mais de 6 meses

Miguel Moura quis denunciar as falhas que havia encontrado, mas o processo foi longo – cerca de 6 meses. O programador começou por ligar para a linha de suporte do Portal das Finanças vezes e, de seguida, para a Comissão Nacional de Proteção de Dados (CNPD) em janeiro deste ano.

Como não obteve resposta, apresentou queixa à CNPD em março e voltou a contactar a linha de suporte em abril. E novamente em maio. Após uma chamada de mais de 36 minutos, Miguel Moura conseguiu finalmente falar com alguém capaz de resolver os problemas, tendo as falhadas sido corrigidas em junho.

Miguel Moura reconhece que é complicado reportar estas situações porque é difícil “chegar às pessoas” salientando, no entanto, que depois de conseguir entrar em contacto com as entidades competente tudo correu de forma fluída.

O programador sugeriu a criação de um mecanismo que torne mais fácil a denúncia de vulnerabilidades diretamente à equipa responsável e a realização de auditorias. Já que, para Miguel Moura, “qualquer pessoa poderia ter encontrado estas falhas”.

ZAP //

PARTILHAR

RESPONDER

Reino Unido e Espanha aumentam restrições. Itália e Alemanha com quase dois mil casos

Madrid restringe movimentos de 850 mil pessoas, Itália regista um aumento dos casos de infeção nas últimas 24 horas, britânicos enfrentam novas restrições no país e Alemanha com dois mil novos casos de covid-19. A região …

Trump novamente acusado de assédio sexual. "Enfiou a língua na minha garganta", disse Amy Doris

O Presidente dos EUA, Donald Trump, foi acusado esta quinta-feira de agressão sexual por uma ex-modelo, num episódio que alegadamente terá ocorrido num torneio de ténis, em 1997. A ex-modelo Amy Dorris relatou ao jornal britânico …

Ventura pondera suspender mandato para se dedicar à campanha presidencial

O presidente do Chega afirmou hoje que o seu partido "está a analisar" no plano jurídico a questão da suspensão temporária do seu mandato de deputado para se dedicar às campanhas dos Açores e presidenciais. Em …

Schumacher está em estado vegetativo e dificilmente recupera, avisa neurologista

Um neurologista ouvido num documentário da RMC Sport diz que o ex-piloto de Fórmula 1 Michael Schumacher está em estado vegetativo e dificilmente recuperará. Já passaram quase sete anos desde que Michael Schumacher sofreu um acidente …

Processos com acórdãos a meias entre Rangel e Galante estão em risco

Durante dez anos, centenas de acórdãos do Tribunal da Relação de Lisboa foram feitos a meias entre Rui Rangel e Fátima Galante. Agora, esses processos estão em risco. A Procuradoria-Geral da República anunciou esta sexta-feira a …

Espanha. Jovem é esfaqueado após alertar para o uso de máscara

Três homens foram detidos em Madrid sob suspeita de terem esfaqueado um jovem que chamou a atenção de um deles por não usar máscara no interior de uma mercearia. Espanha é dos países do mundo mais …

Dez apostas que podem despontar o seu talento na Liga NOS

Nos últimos anos, dificilmente se encontra um mercado de Verão tão interessante como este. Contra todas as expectativas, dado que a pandemia trouxe alguma incerteza, os clubes portugueses têm investido mais e melhor, desde o …

Mulher morre devido a um ataque de ransomware a um hospital na Alemanha

Uma mulher morreu esta semana devido a um ataque de ransomware direcionado ao sistema operativo de um hospital em Duesseldorf, na Alemanha. Segundo as autoridades alemãs, a mulher precisava de cuidados médicos urgentes e foi encaminhada …

Portugal está "numa terceira fase de crescimento" da pandemia, avisa epidemiologista

"Estamos numa terceira fase de crescimento" de novos casos de covid-19, garante Baltazar Nunes, epidemiologista do Instituto Nacional de Saúde Dr. Ricardo Jorge. O número de novos casos voltou a aumentar esta sexta-feira, batendo o recorde …

Áustria corrige Trump. Os seus cidadãos não vivem em florestas

O Governo austríaco decidiu corrigir a afirmação do Presidente dos Estados Unidos, Donald Trump, que afirmou que as pessoas naquele país europeu vivem em "cidades da floresta". Trump referiu recentemente a Áustria e outros países europeu …