2020/07/21

Utilizadores e passwords roubados ao Ministério da Saúde


Um hacker que se identifica como @ckw_offensive no Twitter diz ter conseguido entrar no sistema do Ministério da Saúde e conseguido os dados de 64 mil utilizadores, incluindo as hashes das passwords guardadas com o ultrapassado e desaconselhado MD5.

O indivíduo, que diz ser um "investigador de segurança" e sem qualquer afiliação à CyberTeam (ao contrário do que tem circulado nalguns meios) revelou os registos conseguidos - entretanto eliminados (mas já se sabe que na internet nada fica verdadeiramente eliminado), onde o destaque vai para o facto do Ministério da Saúde guardar as passwords de forma insegura, usando hashes MD5.


É certo que nenhum site deve guardar as passwords em "texto" ou mesmo codificadas, e que em vez disso se deve guardar apenas a sua hash (com salt). Mas, nem todos os algoritmos de hashing são recomendados, e é precisamente esse o caso do MD5, que desde há vários anos é desaconselhado para esse efeito.

A título de exemplo, uma das hashes MD5 reveladas é:
  • 317a2a11eb1df90de4d194b6cf84f0ce
    - que pode facilmente ser revertida com uma pesquisa no Google para:
  • sintonia

Aliás, desde 2018 que temos um Decreto Lei que diz que na Administração Pública será obrigatório usar, no mínimo, o SHA-256, coisa que o Ministério da Saúde não está a fazer, nem tão pouco a usar um "salt" que dificultasse a tarefa de crackar as passwords MD5.



Portanto, nesta altura, é garantido assumir que todas as passwords no sistema do Ministério da Saúde foram comprometidas e terão que ser invalidadas quanto antes. E no processo, que actualizem o sistema por forma a seguirem o que é exigido por lei para garantir uma maior segurança dos seus dados no caso de voltarem a ser infiltrados.

3 comentários:

  1. então e o source? O:-)

    ResponderEliminar
  2. Se fosse só o ministério da saúde, até seria justo afirmar que isto seria "coisa ligeira"...

    ResponderEliminar
  3. Mas então a forma de autenticação não foi alterada há uns meses atrás, obrigando o utilizador a usar "obrigatóriamente" a Chave Móvel Digital??? Que eu saiba agora não há passwords, podem ainda existir num arquivo qualquer, mas já não dão acesso a nada!! Ou estou enganado??

    ResponderEliminar