2022/05/06

Falha no SIGA revelava dados dos utilizadores

Uma vulnerabilidade no portal SIGA permitia o acesso aos dados dos utilizadores, e até alterar as marcações já feitas.

O SIGA (Sistema de Informação para Gestão do Atendimento) é um serviço extremamente útil para agilizar o atendimento em serviços do Estado, permitindo fazer a marcação antecipada e ser atendido sem ter que desesperar horas em filas de espera. Infelizmente, era também vulnerável a ataques.

A falha em questão permitia que um atacante pudesse aceder a dados pessoais dos utilizadores, como o nome completo, NIF, número de Segurança Social, endereço de email, telefone, e também aos pedidos de agendamento - que podiam ser cancelados ou remarcados.

O Instituto de Informática, responsável pelo portal, já corrigiu a falha, mas não sabe determinar durante quanto tempo o site esteve vulnerável. Diz, no entanto, não ter indícios de que a falha tivesse sido explorada por hackers para roubar dados ou adulterar as cerca de 4 mil marcações diárias que são feitas no SIGA.

Considerando que estes dados serão bem apetecíveis para engrossar as bases de dados com informação roubada, que depois podem ser usadas para a criação de campanhas de phishing mais verosímeis (apresentando informação correcta para enganar as vítimas), ou até para roubo de identidade, esperemos que o caso tenha servido para relembrar a importância de implementar as melhores regras de segurança para tentar evitar o roubo de dados pessoais.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]