2019/04/15

EPAL envia passwords por email

A EPAL parece ainda não estar a par das regras básicas de segurança (nem do RGPD) e continua a enviar as passwords dos utilizadores via email.

Um dos nossos leitores contactou-nos depois de ter sido surpreendido pelo envio da sua password de acesso aos serviços dos SIMAS de Oeiras e Amadora (serviços de água e saneamento). Ditam as regras básicas de segurança que uma password nunca deverá ser guardada de forma a poder ser "recuperada" (o processo recomendado será direccionar o utilizador para uma página onde possa definir a sua própria password, usando um qualquer token de validação temporário e com prazo de expiração) mas não é isso que aqui acontece.

Fazer o pedido de recuperação de password assim que nos registamos num novo serviço é um dos testes que nos permite fazer uma avaliação rápida da forma como a empresa / serviço lida com os dados dos utilizadores. E no caso de nos ser enviada a password que introduzimos no serviço, então é muito mau sinal - merecendo um contacto imediato a expressar a preocupação e desagrado com essa flagrante falha de segurança.

Serve igualmente para reforçar a obrigatoriedade de nunca se usarem passwords repetidas ou idênticas em diferentes serviços, já que coisas como esta são autênticas "bombas relógio" que mais cedo ou mais tarde irão revelar as passwords dos utilizadores e passar a integrar as sempre crescentes listas de passwords conhecidas que vão circulando na internet.

5 comentários:

  1. Sendo esta aplicação/sistema utilizado em cerca de 20 concelhos portugueses, parece que o problema é um pouco mais grave.

    Esta situação tb me aconteceu quando me registei através dos sistema do SIMAR (loures e odivelas)

    ResponderEliminar
  2. Cuidado com o título, sei que falamos EPAL para todos os serviços de fornecimento de água. Mas as concessões são diferenciadas, e nem sequer está ao cargo da EPAL.

    ResponderEliminar
  3. Num outro exemplo estatal, o site https://fogos.icnf.pt/queimasqueimadas/ para comunicação obrigatória de queimas e queimadas faz o mesmo. Já para não dizer que é uma aplicação bastante complicada de utilizar por agricultores (público alvo). Talvez o envio da password seja uma forma de facilitar o processo!

    ResponderEliminar
  4. Tanta incompetência nos organismos públicos! Mas sabem fazer greves e exigir mais do que o que têm, afirmando serem técnicos qualificados. Meh...

    ResponderEliminar