Os bancos portugueses estão a alertar os clientes que activaram o serviço SPIN de transferências facilitadas via número de telefone, pois os seus dados foram expostos.
Lançado em 2024 pelo Banco de Portugal, o SPIN (Identificador para Derivação de Conta) prometia facilitar a vida aos portugueses: "permite aos utilizadores de serviços de pagamento iniciarem transferências, a crédito e imediatas, indicando o número de telemóvel ou o número de identificação fiscal (NIF). Esta funcionalidade vem melhorar a experiência do utilizador na execução de transferências, ao permitir que sejam iniciadas com base em identificadores do beneficiário conhecidos ou fáceis de memorizar (o número de telemóvel, o NIF ou o NIPC), em vez do IBAN".
Agora, esses dados passam a fazer parte da lista de dados à disposição de atacantes, para fazerem phishing ou outras campanhas de ataque.
Portanto, o SPIN levou com um brute force que expos a relação Telefone<->IBAN d todos os utilizadores.
— Tomahock (@tomahock) September 18, 2025
O SPIN é do @bancodeportugal assumo que a falha seria do próprio. Não encontro qualquer comunicação do incidente dele.
Foram os bancos que andaram a notificar os clientes.
Cruzando vários leaks, conseguem ter facilmente Nome, email, telefone e agora IBAN.
— Tomahock (@tomahock) September 18, 2025
Até quando o débito direto vai ser aceite sem qualquer segundo fator de segurança moderno?
O mais grave no meio disto tudo - além do silêncio do Banco de Portugal, que continua mudo sobre este caso - é que esta situação de abusar do SPIN para obter estes dados já era conhecida desde o início, tendo sido indicada no Parecer da CNPD:
Para algumas pessoas, o facto do sistema permitir número de telefone "à sorte" e imediatamente ficar a saber dados sobre essa pessoa, foi suficiente para não aderirem ao SPIN. Para quem o fez, terá que ter (ainda mais) cuidado com os emails e mensagens que receber no futuro.
O que impede que isto aconteça no MBWAY?
ResponderEliminarO Best ligou-me a alertar que os meus dados "poderiam ter sido comprometidos". Não tendo o SPIN ativo, fiquei a achar que nem eles sabem ao certo quem foi verdadeiramente atingido.
ResponderEliminarToda a gente podia prever que isto ia acontecer, excepto os senhores doutores com tanto mérito e experiência que merecem ganhar mais do que o presidente da república. Nunca associei número de telemóvel por esse mesmo motivo, não fazia era ideia de que também dava com o NIF, assim o melhor a fazer é assumir que estamos todos comprometidos e ficar de olho nos débitos directos.
ResponderEliminarIsto.
Eliminar