2019/02/01

Gestão de emergências em Portugal expõe passwords - e sabe disso


Numa altura em que até sites comuns passaram a utilizar ligações seguras na web, continuam a existir serviços críticos em Portugal que não só utilizam ligações inseguras que põem em risco as passwords - chegam ao ponto de o reconhecer publicamente.

João Pina deparou-se com um cenário verdadeiramente surreal numa página de login de um "sistema crítico para a gestão de emergências em Portugal". Uma página simples que poderia ser igual a tantas outras que pedem o nome de utilizador e password, mas que vem acompanhada de uma mensagem de alerta:

Atenção: esta página não está encriptada para comunicações seguras. Os nomes de utilizador, palavras-passe e quaisquer outras informações serão enviadas em texto simples. Para mais informações contacte o administrador.




Seria grave o caso de uma (qualquer) página de login não utilizar comunicações seguras por pura ignorância; mas torna-se ainda mais grave que, para um serviço crítico (e mesmo que não fosse crítico), a não utilização de comunicações seguras seja acompanhada da clara indicação de que estão conscientes dos riscos que isso acarreta.

Como se pode admitir que um serviço - qualquer que ele seja - esteja a pedir aos utilizadores para introduzirem uma password que poderá ser apanhada em qualquer um dos muitos sítios por onde passar no seu trajecto até ao destino, por qualquer responsável por um hotspot público onde isso seja feito, ou até por qualquer outra pessoa que simplesmente esteja na mesma rede? E mais ainda, como se pode admitir que isso esteja a ser feito num sistema que será de importância crítica para a gestão das emergências no nosso país?

Só faltava descobrir que este serviço foi desenvolvido por ajuste directo por umas centenas de milhares de euros... ;P

6 comentários:

  1. O último parágrafo resume perfeitamente uma enorme porção da realidade informática deste país.

    ResponderEliminar
  2. Respostas
    1. Infelizmente, uma "normalidade" em tantos organismos publicos. :(

      Eliminar
  3. "Só faltava descobrir que este serviço foi desenvolvido por ajuste directo por umas centenas de milhares de euros."

    É isto que me vem à cabeça sempre que tento marcar uma consulta online no meu centro de saúde utilizando o "SIGA", um site lento, cheio de bugs e que tem aspecto de algo dos anos 90 apesar de ser bem mais recente. Ou ainda a app MySNS que não consegue fazer algo tão básico como mostrar que medicamentos de uma receita já foram levantados na farmácia. Revolta-me existir alguém a ganhar muito dinheiro para fazer um trabalho tão medíocre

    ResponderEliminar
    Respostas
    1. Precisamente. Aliás, verifique-se as noticias "bem gordas" de ontem acerca do simulador de pensões de aposentação da CGA e depois visite-se o site desse organismo público para se viajar instantaneamente até à década de 1990...
      www.gda.pt

      Eliminar
    2. Correção: o endereço di site da CGA é http://www.cga.pt

      Eliminar