Gestão de emergências em Portugal expõe passwords - e sabe disso

Numa altura em que até sites comuns passaram a utilizar ligações seguras na web, continuam a existir serviços críticos em Portugal que não só utilizam ligações inseguras que põem em risco as passwords - chegam ao ponto de o reconhecer publicamente.

João Pina deparou-se com um cenário verdadeiramente surreal numa página de login de um "sistema crítico para a gestão de emergências em Portugal". Uma página simples que poderia ser igual a tantas outras que pedem o nome de utilizador e password, mas que vem acompanhada de uma mensagem de alerta:

Atenção: esta página não está encriptada para comunicações seguras. Os nomes de utilizador, palavras-passe e quaisquer outras informações serão enviadas em texto simples. Para mais informações contacte o administrador.

Alegadamente isto é a página de login de um sistema crítico para a gestão de emergências em Portugal. Deve deixar a @ama_gov_pt extremamente orgulhosa!

— Tomahock (@tomahock) February 1, 2019

Seria grave o caso de uma (qualquer) página de login não utilizar comunicações seguras por pura ignorância; mas torna-se ainda mais grave que, para um serviço crítico (e mesmo que não fosse crítico), a não utilização de comunicações seguras seja acompanhada da clara indicação de que estão conscientes dos riscos que isso acarreta.

Como se pode admitir que um serviço - qualquer que ele seja - esteja a pedir aos utilizadores para introduzirem uma password que poderá ser apanhada em qualquer um dos muitos sítios por onde passar no seu trajecto até ao destino, por qualquer responsável por um hotspot público onde isso seja feito, ou até por qualquer outra pessoa que simplesmente esteja na mesma rede? E mais ainda, como se pode admitir que isso esteja a ser feito num sistema que será de importância crítica para a gestão das emergências no nosso país?

Só faltava descobrir que este serviço foi desenvolvido por ajuste directo por umas centenas de milhares de euros... ;P