Uma falha informática do Portal das Finanças permitia mudar a palavra-passe da conta de qualquer pessoa ao saber apenas o número de contribuinte. Em teoria, o problema – que já foi corrigido, mas apenas seis meses depois de o Estado ter sido alertado – podia ser explorado por atacantes para ganhar acesso a informação financeira de qualquer utilizador.

A falha foi descoberta por Miguel de Moura, um estudante do mestrado de Engenharia Electrotécnica e de Computadores do Instituto Superior Técnico com 22 anos, que recentemente explicou o processo no seu site pessoal. O estudante diz que esperou que o Portal das Finanças resolvesse os problemas antes de os divulgar, uma prática habitual na área da cibersegurança.

“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse Miguel de Moura ao PÚBLICO. O caso foi avançado pela revista Exame Informática.

O PÚBLICO contactou o Ministério das Finanças ao final da tarde desta quarta-feira. O ministério respondeu que não conseguia dar respostas até à hora de publicação deste artigo.

Miguel de Moura explicou, em dois textos publicados online, como encontrou várias falhas no Portal das Finanças. Para além da mudança de palavra-passe, os textos mencionam outros problemas, como técnicas que permitiam descobrir o número de telefone de alguém a partir do seu NIF, e a possibilidade de esquemas de phishing  (feitos para levar um utilizador a fornecer dados confidenciais) usarem endereços online legítimos do Portal das Finanças, alterados para incluir conteúdo malicioso.

O processo implicava inspeccionar o código das páginas online do Portal das Finanças, algo que qualquer pessoa pode fazer. Além dos campos visíveis no site (como Nova Senha e Confirmar Nova Senha), era possível ter acesso a campos escondidos do formulário, como o NIF associado a um número de telemóvel. Com conhecimentos informáticos, era possível alterar estes elementos.

“A maioria dos formulários online tem campos secretos. No caso de pedido de alteração de palavra-passe do Portal das Finanças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar”, explica Moura.

“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, frisa. Bastava que alguém simulasse o processo de recuperar a palavra-passe para conseguir associar uma nova palavra-passe a outro NIF.

“Dos outros problemas que reportei, os mais preocupantes eram esquemas que permitiam manipular o URL do Ministério das Finanças para incluir porções de código malicioso. Isto facilitava processos de phishing para roubar dados das pessoas”, diz o estudante. “Quando alguém se tentava autenticar no Portal das Finanças, na opção para recuperar a senha, também era possível escapar à pergunta secreta, e daqui, ver os números de telefone associados a qualquer NIF.”

O estudante contactou logo em Janeiro a linha de apoio do Portal das Finanças, no próprio dia em que descobriu as falhas. No dia seguinte, tentou a Comissão Nacional de Protecção de Dados (CNPD). Mas o processo demorou. “Só em Maio, depois de uma chamada de meia hora, em que me transferiram para várias autoridades diferentes, é que consegui chegar às autoridades competentes”, conta. “Alguém finalmente ouviu e remeteu a minha chamada para a pessoa que podia resolver o problema.”