Um hacker que se identifica como @ckw_offensive no Twitter diz ter conseguido entrar no sistema do Ministério da Saúde e conseguido os dados de 64 mil utilizadores, incluindo as hashes das passwords guardadas com o ultrapassado e desaconselhado MD5.
O indivíduo, que diz ser um "investigador de segurança" e sem qualquer afiliação à CyberTeam (ao contrário do que tem circulado nalguns meios) revelou os registos conseguidos - entretanto eliminados (mas já se sabe que na internet nada fica verdadeiramente eliminado), onde o destaque vai para o facto do Ministério da Saúde guardar as passwords de forma insegura, usando hashes MD5.
É certo que nenhum site deve guardar as passwords em "texto" ou mesmo codificadas, e que em vez disso se deve guardar apenas a sua hash (com salt). Mas, nem todos os algoritmos de hashing são recomendados, e é precisamente esse o caso do MD5, que desde há vários anos é desaconselhado para esse efeito.
A título de exemplo, uma das hashes MD5 reveladas é:
- 317a2a11eb1df90de4d194b6cf84f0ce
- que pode facilmente ser revertida com uma pesquisa no Google para: - sintonia
Aliás, desde 2018 que temos um Decreto Lei que diz que na Administração Pública será obrigatório usar, no mínimo, o SHA-256, coisa que o Ministério da Saúde não está a fazer, nem tão pouco a usar um "salt" que dificultasse a tarefa de crackar as passwords MD5.
Relembro o DL 41/2018 que define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes/sistemas de informação relativos a dados pessoais.— Tomahock (@tomahock) July 20, 2020
Aprovar DLs é muito bonito. Mas depois cumpri-los é outra história. pic.twitter.com/vly1WQo1hq
Portanto, nesta altura, é garantido assumir que todas as passwords no sistema do Ministério da Saúde foram comprometidas e terão que ser invalidadas quanto antes. E no processo, que actualizem o sistema por forma a seguirem o que é exigido por lei para garantir uma maior segurança dos seus dados no caso de voltarem a ser infiltrados.
então e o source? O:-)
ResponderEliminarSe fosse só o ministério da saúde, até seria justo afirmar que isto seria "coisa ligeira"...
ResponderEliminarMas então a forma de autenticação não foi alterada há uns meses atrás, obrigando o utilizador a usar "obrigatóriamente" a Chave Móvel Digital??? Que eu saiba agora não há passwords, podem ainda existir num arquivo qualquer, mas já não dão acesso a nada!! Ou estou enganado??
ResponderEliminar