2018/08/23

Vulnerabilidades no Portal das Finanças permitiam aceder a qualquer conta em segundos


Portugal não faz parte dos países onde a informação fiscal de todos os cidadãos está disponível publicamente, mas durante os primeiros seis meses deste ano poderia considerar-se que sim, devido a inúmeras vulnerabilidades que permitiam o fácil acesso a qualquer conta a partir do Portal das Finanças.

As falhas no Portal das Finanças foram detectadas no início do ano por Miguel de Moura, e acabam por ser arrepiantes, considerando que na sua maioria eram aquilo que se pode considerar "falhas básicas". Desde coisas que facilitam ataques de phishing às que permitem obter informações de outros cidadãos (como o número de telefone associado a qualquer NIF), culminando com a capacidade de se poder alterar a password de acesso de qualquer contribuinte e ter acesso total à sua conta, era um verdadeiro panorama de pesadelo para todos os utilizadores (e de sonho para qualquer hacker com intenções maliciosas).

Felizmente, no caso de Miguel de Moura, as suas intenções eram benignas, e rapidamente se apressou a tentar alertar a Autoridade Tributária para estas falhas. Um processo que, por si só, se revelou uma grande e morosa dor de cabeça. Nas suas tentativas de contacto os operadores direccionavam-no para a criação de um "ticket" de suporte, que nunca tiveram resposta. Passado um par de meses apresentou uma queixa na Comissão Nacional de Protecção de Dados, que também ficou sem resposta. E só após forte insistência numa nova tentativa de contacto telefónico, e depois de mais de meia hora ao telefone, conseguiu por fim chegar a alguém que percebeu a gravidade da situação e pôs em marcha o processo para as corrigir.


Foram meses perdidos só na tentativa de contacto; sendo que se Miguel se tivesse limitado a seguir o protocolo habitual de dar 90 dias antes de revelar publicamente a informação sobre as vulnerabilidades, a Autoridade Tributária estaria perante um verdadeiro Apocalipse que poderia ter revelado todos os dados de todos os contribuintes portugueses.

... Sabendo-se que o nosso estado paga milhões de euros a empresas de auditoria e segurança, interrogo-me sobre se irá sequer recompensar com alguns euros todo o trabalho feito por Miguel de Moura. No mínimo, esperemos que tenham aprendido com este caso, e se não ao ponto de criar um programa de recompensas na descoberta de falhas, pelo menos a nível de facilitar e agilizar o contacto de quem as quiser reportar.

6 comentários:

  1. Já vai com sorte se não for acusado de hacking, estou a brincar!

    ResponderEliminar
  2. Aconteceu-me um episódio parecido há anos atrás descobri uma falha no software do cartão do cidadão. Neste caso foram meses a tentar obter reaposta da AMA. É preocupante a falta de cultura de segurança neste tipo de projectos que podem ter consequências graves.

    ResponderEliminar
  3. Este comentário foi removido pelo autor.

    ResponderEliminar
  4. Há uns anos alguém teve a fantástica ideia de criar o "cemitério online", onde eram listados os últimos defuntos (com fotos), com possibilidade de deixar mensagens à família, de comprar "flores virtuais", entre outras coisas ridículas.
    Várias juntas de freguesia aderiram a esta estupidez, como por exemplo esta http://fao.cemiteriosonline.com (pelos vistos agora já não tem metade das "funcionalidades")

    Os sites eram réplicas uns dos outros para cada freguesia, só mudava a base de dados.
    Descobri uma falha de sql injection num formulário e rapidamente tive acesso total à BD onde continham todos os dados (BI's, telefones, moradas,..) dos falecidos, dados das pessoas responsáveis por cada sepultura, pagamentos, entre muitos outros dados privados.
    Ou seja, como o site era igual para todas as localidades, facilmente poderia ter acesso a dados de milhares de pessoas das várias freguesias aderentes.

    Comuniquei a situação a uma das juntas de freguesia e à empresa OK-PORTUGAL (responsável pelo site), nunca obtive resposta.
    Passado uns dias, para além de ter surgido uma notícia num jornal local com o título "hacker de cemitérios", pessoas próximas vieram-me alertar para ter cuidado pois o pessoal da junta de freguesia estava a pensar levar-me a tribunal.

    Passaram-se 6 / 7 anos, nunca mais ouvi falar do assunto. Mas ficou a lição de que por vezes a melhor das intenções pode não ter o resultado que esperamos.

    ResponderEliminar
    Respostas
    1. Uma vez encontrei uma falha identica (o formulário de login, com um pouco de sql, apresentava a password de root do mysql que corria por trás). Falei com o diretor de segurança do sítio onde trabalho que me perguntou se eu tinha usado a rede tor para fazer esse diagnóstico. Como eu não tinha usado, ele aconselhou-me a nunca mais ir ao site e a ignorar... caso contrário, a empresa detentora do site poderia acusar-me de intrusão.

      Eliminar
  5. Lamentável, pouco mais haa acrescentar.

    ResponderEliminar

[pub]