Rádio Observador

Portal das Finanças

Finanças demoraram seis meses a responder a alerta de segurança informática

165

Em janeiro, serviços foram alertados pela primeira vez para falhas no Portal das Finanças. Mas só em maio o utilizador que as detetou conseguiu que o alerta fosse atendido. Solução chegaria em julho.

MÁRIO CRUZ/LUSA

No mesmo dia em que descobriu várias falhas graves de segurança no Portal das Finanças, Miguel de Moura, um estudante de engenharia do Instituto Superior Técnico, ligou para a linha de suporte do site alertando para o risco de as contas dos contribuintes poderem ser violadas. Mas só em maio conseguiu chegar às “autoridades competentes”, e ainda foram precisos outros dois meses para a questão ficar resolvida de vez, avançou a revista Exame. “Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, diz Miguel Moura ao jornal Público.

A possibilidade de qualquer pessoa alterar a palavra-passe de outro utilizar foi a falha de segurança mais grave que o estudante de 22 anos detetou, mas não foi a única. Em dois artigos publicados no seu site pessoal a 15 e a 17 de agosto (depois de as Finanças terem, alegadamente, resolvido o problema), Miguel Moura explica como era possível aceder à conta de outros contribuintes e detalha cada uma das falhas que foi encontrando pelo caminho: da possibilidade de obter o número de telefone de um contribuinte apenas com o seu Número de Identificação Fiscal (NIF) à alteração de endereços no Portal das Finanças para aceder a dados confidenciais dos utilizadores.

Para isso, era preciso aceder ao código da página do Portal, um passo acessível a qualquer utilizador. “A maioria dos formulários online tem campos secretos” e, explica o estudante ao Público, “no caso de pedido de alteração de palavra-passe do Portal das Finanças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar”.

“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, sublinha. Através do processo de recuperação da palavra-passe, e inserindo o NIF da vítima, o atacante conseguia alterar a palavra-passe daquela conta e, assim, ter acesso a toda a informação fiscal de cada um dos contribuintes.

Partilhe
Comente
Sugira
Proponha uma correção, sugira uma pista: observador@observador.pt
Estado

Teoria geral dos lapsos /premium

Maria João Marques
236

Se há erva daninha na nossa democracia não é tanto a tolerância para estes pecadilhos menores dos ministros, mas a aceitação apática de que o Estado pode cair em cima dos cidadãos e dos contribuintes.

Cooperação económica

De braço dado com Angola

José Manuel Silva

O momento político angolano é propício à criação de laços baseados na reciprocidade e na igualdade de tratamento, sem complexos de nenhuma espécie. A história foi o que foi, o presente está em curso.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

Confirme a sua conta

Para completar o seu registo, confirme a sua conta clicando no link do email que acabámos de lhe enviar. (Pode fechar esta janela.)