2019/08/22

Serviço PEM Móvel envia passwords em plaintext e no URL


Desde o início do ano que os médicos em Portugal podem passar receitas médicas a partir dos seus smartphones com a app PEM Móvel (Prescrição Electrónica Médica Móvel), mas infelizmente parece não ter havido grandes preocupações com a (falta de) segurança do serviço.

A PEM Móvel é, em si, um serviço bastante positivo e bem vindo, facilitando a vida aos médicos e utentes, permitindo a emissão das receitas no formato de "Receita Sem Papel". O que não será nada positivo é que, para um serviço tão crítico como este, não sejam seguidas as regras básicas de segurança.

O caso mais flagrante é que a password para acesso ao serviço seja enviada em texto simples via email, e que tanto o nome de utilizador como a password sejam também incluídas num URL para acesso ao formulário.


Como se isto não fosse suficiente mau, o email enviado chega ainda ao ponto de dizer para o email ser guardado para referência futura, já que o serviço "não permite recuperar a senha".

O envio de passwords via texto é algo que nunca deveria ser feito, nem tão pouco incluído em "plain text" num URL, mesmo estando-se a utilizar um endereço HTTPS.


A única coisa que poderá servir de atenuante no meio disto tudo é que, ao dizerem que não podem recuperar a senha, imagino que se refiram a não guardar uma cópia em "plain text" nas suas bases de dados. Mas ainda assim, seria aconselhável que o serviço parasse com o envio das passwords via email, seguindo as regras básicas de permitir / exigir que fosse o utilizador a definir uma password segura através de um canal seguro.


Actualização: Fomos contactados no sentido de clarificar que o envio destes dados diz respeito apenas à primeira fase, de pedir o acesso à app (o que não desculpa que seja uma grave violação dos princípios básicos de segurança) - e que não afecta o acesso à app em si. Segue-se o esclarecimento que nos foi enviado pelo SPMS (Serviços Partilhados do Ministério da Saúde).
Começamos por referir que esta aplicação se destina a ser utilizada apenas por profissionais de saúde inscritos na Ordem dos Médicos ou Ordem dos Médicos Dentistas, que devem preencher o formulário de registo disponibilizado pela SPMS, para poderem usufruir de todas as suas vantagens. No caso de o mesmo profissional pretender corrigir ou complementar a informação contida neste formulário, deve utilizar as credenciais que lhe foram remetidas por e-mail. No entanto, e é aqui que se encontra o equívoco, este formulário serve apenas para efetuar o pedido de acesso à app PEM Móvel junto da SPMS, não servindo nunca estes dados de acesso para utilização da aplicação, ou para a emissão de uma prescrição.

É exatamente para garantir a máxima segurança na utilização da app PEM Móvel, que a SPMS designou a Chave Móvel Digital como meio de autenticação, tendo ainda o profissional de saúde de assinar a receita utilizando a assinatura digital. Esta medida dupla incrementa a segurança da prescrição de medicamentos, garantindo a autenticidade e evitando o repúdio da prescrição. Esclarecemos ainda que a Chave Móvel Digital é um sistema simples e seguro de autenticação dos cidadãos em portais e sítios da Administração Pública na Internet, com dois fatores de segurança: uma palavra-chave escolhida pelo cidadão (PIN) e um código de segurança numérico e temporário recebido por SMS, e-mail ou mensagem direta no Twitter. É da responsabilidade do cidadão a utilização segura da sua palavra-chave, bem como do telemóvel associado ao seu registo, à semelhança do que acontece com todas as outras credenciais que fazem parte da sua vida.

Gostaríamos ainda de destacar, que uma das principais vantagens da aplicação PEM Móvel é a simplificação da prescrição médica, que permite ao profissional de saúde dar resposta imediata ao paciente, sem que para isso precise de se encontrar num consultório ou a utilizar um computador.

5 comentários:

  1. São as Altrans desta vida :)

    ResponderEliminar
    Respostas
    1. Essencialmente deve ter sido uma consultora a quem pagaram um balúrdio e depois deram uma semana a um estagiário a quem pagam meio tostão para fazer esta pérola.

      Eliminar
    2. Já esteve mais longe da verdade....

      Eliminar
  2. Já usei e posso referir que a noticia nao está certa

    Aquela palavra passe é so para requisitar o acesso, depois a plavra passe que é preciso usar na App é com chave movel digital.

    Na verdade, esta parte e tipo gestao de senha, so para garantir que o user +é mesmo medico. A app nem usa palavra passe, é msemo com chave movel digital (preciso telemovel).

    Nao está bem pesquisao, esta noticia

    ResponderEliminar