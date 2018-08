Uma falha informática do Portal das Finanças permitia mudar a palavra-passe da conta de qualquer pessoa ao saber apenas o número de contribuinte. Em teoria, o problema – que já foi corrigido – podia ser explorado por atacantes para ganhar acesso a informação financeira de qualquer utilizador.

A falha foi descoberta por Miguel de Moura, um estudante de engenharia do Instituto Superior Técnico com 22 anos, que recentemente detalhou o processo no seu site pessoal. O estudante diz que esperou que o Portal das Finanças resolvesse os problemas antes de os divulgar, uma prática habitual na área da cibersegurança.

PUB

“Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, disse Miguel de Moura ao PÚBLICO. O caso foi avançado pela revista Exame Informática.

PUB

O PÚBLICO contactou o Ministério das Finanças ao final da tarde desta quarta-feira. O ministério respondeu que não conseguia dar respostas até à hora de publicação deste artigo.

Miguel de Moura explicou, em dois textos publicados online, como encontrou várias falhas no Portal das Finanças. Para além da mudança de palavra-passe, os textos mencionam outros problemas, como técnicas que permitiam encontrar o número de telefone de alguém a partir do seu NIF, e a possibilidade de esquemas de phishing (feitos para levar um utilizador a fornecer dados confidenciais) usarem endereços online legítimos do Portal das Finanças, alterados para incluir conteúdo malicioso.

O processo implicava inspeccionar o código das páginas online do Portal das Finanças, algo que qualquer pessoa pode fazer. Além dos campos visíveis no site (como Nova Senha e Confirmar Nova Senha) era possível ter acesso a campos escondidos do formulário, como o NIF associado a um número de telemóvel. Com conhecimentos informáticos, era possível alterar estes elementos.

“A maioria dos formulários online tem campos secretos. No caso de pedido de alteração de palavra-passe do Portal das Fianças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar", explica Moura.

O melhor do Público no email Subscreva gratuitamente as newsletters e receba o melhor da actualidade e os trabalhos mais profundos do Público. Subscrever ×

“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, frisa. Bastava que alguém simulasse o processo de recuperar a palavra-passe para conseguir associar uma nova palavra-passe a outro NIF.

“Dos outros problemas que reportei, os mais preocupantes eram esquemas que permitiam manipular o URL do ministério das finanças para incluir porções de código malicioso. Isto facilitava processos de phishing para roubar dados das pessoas”, diz o estudante. “Quando alguém se tentava autenticar no Portal das Finanças, na opção para recuperar a senha, também era possível escapar à pergunta secreta, e daqui, ver os números de telefone associados a qualquer NIF.”

PUB

O estudante contactou a linha de suporte do Portal das Finanças logo no dia em que descobriu as falhas. No dia seguinte, tentou a Comissão Nacional de Protecção de Dados (CNPD). Mas o processo demorou. “Só em Maio, depois de uma chamada de meia hora, em que me transferiram para várias autoridades diferentes, é que consegui chegar às autoridades competentes”, conta. “Alguém finalmente ouviu e remeteu a minha chamada à pessoa que podia resolver o problema.”

PUB