No mesmo dia em que descobriu várias falhas graves de segurança no Portal das Finanças, Miguel de Moura, um estudante de engenharia do Instituto Superior Técnico, ligou para a linha de suporte do site alertando para o risco de as contas dos contribuintes poderem ser violadas. Mas só em maio conseguiu chegar às “autoridades competentes”, e ainda foram precisos outros dois meses para a questão ficar resolvida de vez, avançou a revista Exame. “Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, diz Miguel Moura ao jornal Público.

A possibilidade de qualquer pessoa alterar a palavra-passe de outro utilizar foi a falha de segurança mais grave que o estudante de 22 anos detetou, mas não foi a única. Em dois artigos publicados no seu site pessoal a 15 e a 17 de agosto (depois de as Finanças terem, alegadamente, resolvido o problema), Miguel Moura explica como era possível aceder à conta de outros contribuintes e detalha cada uma das falhas que foi encontrando pelo caminho: da possibilidade de obter o número de telefone de um contribuinte apenas com o seu Número de Identificação Fiscal (NIF) à alteração de endereços no Portal das Finanças para aceder a dados confidenciais dos utilizadores.

Para isso, era preciso aceder ao código da página do Portal, um passo acessível a qualquer utilizador. “A maioria dos formulários online tem campos secretos” e, explica o estudante ao Público, “no caso de pedido de alteração de palavra-passe do Portal das Finanças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar”.

“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, sublinha. Através do processo de recuperação da palavra-passe, e inserindo o NIF da vítima, o atacante conseguia alterar a palavra-passe daquela conta e, assim, ter acesso a toda a informação fiscal de cada um dos contribuintes.