/

Divulgadas milhares de passwords do Portal das Finanças. O que posso fazer?

5

Autoridade Tributária e Aduaneira

Está a circular uma lista de, pelo menos, nove mil credenciais de acesso ao Portal das Finanças numa fuga de dados sem ligação ao recente ataque à AMA (Agência para a Modernização Administrativa).

Esta nova falha de segurança poderá estar exposta deste o Verão passado, deixando as passwords de milhares de contribuintes portugueses vulneráveis.

O Expresso e a Rádio Renascença (RR) adiantam que esta fuga de dados não está relacionada com o recente ciberataque à AMA que deixou os dados de milhares de contribuintes expostos online.

Haverá uma lista com mais de 15 mil entradas a circularem pela Internet com números de contribuintes e palavras-passe associadas para aceder ao Portal das Finanças. Mas algumas estarão duplicadas.

Feitas as contas, segundo o Expresso e a RR, pelo menos 9000 dessas entradas são reais. Ainda nesta segunda-feira, seria possível aceder às contas de contribuintes com essas passwords expostas.

Nos casos em que as passwords foram expostas, quando se entra no Portal das Finanças, estará a surgir uma mensagem a pedir a mudança de senha por estar expirada. Esta terá sido a solução imediata encontrada pela AT para resolver a ameaça de segurança.

Ministério fala em “exfiltração de dados”

O Ministério das Finanças confirmou à Lusa que a lista foi identificada pelo Fisco em Agosto deste ano, garantindo que “logo que tomou conhecimento da [sua] existência”, “a AT desencadeou de imediato o procedimento estabelecido para estas situações, revogando as senhas de acesso comprometidas“.

“Os dados constantes da referida lista não resultam de qualquer acesso ilegítimo aos sistemas da AT”, aponta ainda o ministério, frisando que resultaram de uma “exfiltração de dados em sistemas de terceiros ou através do comprometimento dos equipamentos dos respectivos utilizadores”.

Uma exfiltração de dados implica a transferência de dados confidenciais de um sistema, ou dispositivo, para um destino não autorizado, geralmente com a intenção de causar danos ou obter ganhos financeiros.

Este processo pode ser feito de forma manual ou através de malware e é considerado um dos ciberataques mais destrutivos.

Como pode proteger-se

Para impedir actos como a exfiltração deve usar sistemas de criptografia dos dados mais sensíveis que tem no seu computador, para que sejam ilegíveis se forem acedidos por pessoas indevidas.

Além disso, é importante utilizar softwares antivírus e de monitorização para detectar atividades suspeitas e identificar eventuais tentativas de exfiltração em tempo real.

Mantenha sempre os seus sistemas e softwares actualizados e verifique os URLs (os endereços dos sites), para tentar perceber se são legítimos.

Desconfie de sites com erros ortográficos e verifique se o URL começa por “https://” e se tem um ícone de cadeado, o que assinala uma ligação segura.

Invista em passwords fortes, alterando-as regularmente, e opte sempre pela autenticação multifactor – este processo não existe, actualmente, no Portal dos Finanças.

No âmbito empresarial, deve-se limitar o acesso aos dados sensíveis apenas aos funcionários que realmente precisam deles para realizarem as suas tarefas.

Também é importante fazer auditorias de segurança regulares para identificar possíveis vulnerabilidades e pontos fracos no sistema.

A formação dos funcionários para as boas práticas de segurança cibernética e os perigos existentes é outro passo fundamental para proteger as empresas de ataques cibernéticos.

Saber se a sua password foi exposta

Tem estado a ser divulgado um site – Leak Checker – que supostamente faz a verificação das credenciais que foram comprometidas nesta falha de segurança nas Finanças. Contudo, não é certo se este site é confiável.

Acessível no endereço https://tools.cybb0rg.com/accessgovleak, este site pode ser apenas mais um site malicioso a tentar obter dados confidenciais.

Portanto, evite entrar neste ou noutros sites sem ter a certeza de que são confiáveis.

O melhor, neste momento, é mesmo alterar a sua password no Portal das Finanças – mais vale prevenir do que remediar.

E se usa a mesma password noutros sites, deve também alterá-la nesses casos.

Susana Valente, ZAP // Lusa

Siga o ZAP no Whatsapp

5 Comments

    • Caro leitor,
      O ZAP não está a divulgar nenhum site.
      Se puder fazer o favor de ler o texto, perceberá que o ZAP está a fazer o contrário: a alertar que o site que anda a ser divulgado “pode ser apenas mais um site malicioso a tentar obter dados confidenciais” e que “não é certo se este site é confiável”, e que, portanto, “evite entrar neste ou noutros sites sem ter a certeza de que são confiáveis”.

      • E ler a partir daqui: “Saber se a sua password foi exposta”…
        Diz o nome do site, etc etc

        “Tem estado a ser divulgado um site – Leak Checker – que supostamente faz a verificação das credenciais que foram comprometidas nesta falha de segurança nas Finanças. Contudo, não é certo se este site é confiável.”

Deixe o seu comentário

Your email address will not be published.