Falha grave de segurança no Portal das Finanças - NValores

Falha grave de segurança no Portal das Finanças

By | 2018-09-04T20:00:40+01:00 04/09/2018|Categories: Impostos|Tags: , |
segurança no portal das finanças

E se lhe dissermos que foi possível entrar na conta do Portal das Finanças de todos os contribuintes portugueses!

Não acredita!

Veja o que encontrámos…

O Portal das Finanças não é propriamente o site mais seguro e confiável da internet.

Além dos erros comuns deste portal que aparecem aquando da entrega do IRS, existem muitas outras vulnerabilidades associadas ao mesmo.

Há bem pouco tempo, o programador Miguel Moura descobriu vulnerabilidades no site das Finanças que permitiam que qualquer pessoa acedesse à conta que desejasse em segundos.

Imagine que alguém tinha o seu NIF.

Essa pessoa podia facilmente aceder à sua conta no Portal das Finanças e não só ver os seus dados como fazer pedidos em seu nome.

Basicamente, tinha pleno acesso à sua página e poderia fazer tudo aquilo que você pode fazer quando acede à mesma.

É importante frisar que à data de publicação deste artigo, as vulnerabilidades encontradas pelo programador já foram resolvidas.

A importância da segurança informática nos dias que correm

Estamos numa altura em que todas as nossas informações pessoais se encontram à distância de um clique e protegidas por uma simples palavra passe.

Contudo, muitas pessoas não percebem que as passwords criadas são tão básicas que qualquer pessoa consegue com meia dúzia de tentativas descortinar.

No entanto, a situação muda de figura para todos os que têm realmente uma preocupação redobrada e têm passwords que efetivamente são seguras e praticamente impossíveis de serem descobertas.

E se lhe dissermos que mesmo assim correm um elevado risco de ver os seus dados pessoais expostos.

Pois bem, foi isso que Miguel Moura conseguiu provar.

Este programador com um grande gosto pela área de segurança e resolveu fazer alguns testes à segurança de entidades que todos nós conhecemos:

Embora tenha encontrados algumas vulnerabilidades em praticamente todos os sites, a verdade é que o Portal das Finanças foi a situação mais grave.

Como é que é possível que um dos maiores portais nacionais e que contém um sem número de informações pessoais do consumidor, possa ter falhas de segurança tão grandes que permitam qualquer pessoa aceder aos mesmos em segundos?

“Sim, se eu tivesse o seu número de contribuinte, poderia em poucos segundos aceder à sua conta no Portal das Finanças e saber tudo sobre si.”

Felizmente, esta questão foi descoberta antes de existirem problemas graves de divulgação de dados pessoais.

Contudo, não deixa de ser uma situação bastante grave.

Quais as falhas de segurança que foram detetadas no portal das finanças?

De forma resumida foram detetadas 2 tipologias distintas de falhas no que concerne o portal das finanças.

  1. Falhas que poderiam conduzir a ataques de phishing
  2. Vulnerabilidades no processo de autenticação

Explicamos-lhe sucintamente cada uma delas.

1 – Falhas que poderiam gerar ataques de phishing

Para quem não sabe, os ataques de phishing são muito comuns e são realizados por cibercriminosos que têm como principal intuito recolher informações pessoais do consumidor com intuito de as divulgar ou chantagear o seu titular.

Muitos destes ataques têm como principal objetivo obter números de cartões de crédito, de forma a poder usurpar os mesmos.

No caso do Portal das Finanças as vulnerabilidades existentes permitiam que fossem enviados emails falsos e que pareciam ter sido enviados diretamente das Finanças com o intuito de recolher dados do contribuinte.

2 – Falhas no processo de autenticação

Estas foram as falhas mais graves, pois eram as que davam origem à possibilidade de qualquer pessoa poder aceder à conta de outra em poucos segundos.

Neste ponto, foram verificadas 3 falhas graves:

  1. Com qualquer NIF era possível descobrir o número de telemóvel associado a esse contribuinte
  2. Era possível recuperar uma senha sem precisar de responder à pergunta secreta
  3. Era possível mudar a senha de qualquer NIF – a falha mais grave de todas

A dificuldade de reportar as falhas à entidade competente

Pois bem, tal como lhe havíamos dito antes, à data de criação deste artigo, as vulnerabilidades indicadas já se encontram resolvidas.

O programador, seguiu todas as boas práticas da área de tecnologia e apenas está a divulgar esta informação agora, pois já não há nenhum perigo para o contribuinte.

A maior dificuldade do programador foi conseguir chegar às pessoas certas, tendo passado várias horas entre as diferentes linhas de apoio ao contribuinte.

De acordo com o programador, estas falhas ocorreram porque o sistema base de código que está a ser utilizado não foi desenvolvido especificamente para a finalidade que está a ser utilizada.

Como vê, é importante que tenha o máximo de cuidado com os sites onde acede, mas também com a criação de palavras-chave seguras.

Embora neste caso em específico as mesmas não fossem uma mais valia, a verdade é que em muitos casos pode ser a diferença entre uma boa proteção ou ver todos os seus dados pessoais divulgados online.

Fonte da informação:

https://migueldemoura.com/posts/deeply-vulnerable-legacy-code-portuguese-government-finance-tax-portal/

https://migueldemoura.com/posts/breaking-into-the-finance-government-account-of-every-portuguese-citizen-entity/

Gosta do nosso trabalho?

Siga a nossa página no Facebook

By | 2018-09-04T20:00:40+01:00 04/09/2018|Categories: Impostos|Tags: , |

About the Author:

Formado em Engenharia e apaixonado pela área Financeira, Ricardo Rodrigues criou a NValores em Agosto de 2013 com a missão de melhorar a literacia financeira dos Portugueses. Exerceu funções profissionais inerentes à categoria de Consultor Financeiro na Empresa Maxfinance, nomeadamente assessoria na obtenção de crédito pessoal, crédito consolidado, crédito automóvel, cartões de crédito, crédito hipotecário, leasing, seguros e aplicações financeiras. Desde de 2013 com funções profissionais inerentes à categoria de CEO na RRNValores Unipessoal, Lda, especificamente, gere uma equipa formada por consultores, marketing de conteúdos e programadores que criam, desenvolvem e mantêm uma plataforma com informação e comparação de produtos financeiros gratuita para todos os utilizadores. Email: geral@nvalores.pt