Cibersegurança

Portal das Finanças facilita comunicação de problemas depois de falha grave

Um estudante descobriu uma falha informática que permitia mudar a palavra-passe da conta de qualquer pessoa. A solução demorou meses.
Foto
O Fisco garante que não foi comprometida informação dos utilizadores SEBASTIAO ALMEIDA/arquivo

A Autoridade Tributária simplificou o processo para comunicar problemas de segurança no Portal das Finanças, depois de um estudante de Engenharia ter alertado aquela entidade para uma falha grave no site, que só foi resolvida meses depois.

Atingiu o seu limite de artigos gratuitos

Foi em Janeiro que Miguel de Moura, 22 anos, descobriu que era possível mudar a palavra-passe da conta de qualquer pessoa, em segundos, ao saber apenas o número de contribuinte. Apesar de ter enviado uma queixa para o site nesse mesmo dia, só no final de Maio é que o estudante conseguiu entrar em contacto com a pessoa responsável por resolver o problema.

Em declarações ao PÚBLICO esta quinta-feira, fonte oficial da Autoridade Tributária e Aduaneira confirma o sucedido e diz que já foram introduzidas “alterações ao processo de comunicação deste tipo de incidentes para garantir um tratamento mais célere”.

De acordo com o fisco, a informação dos utilizadores registados no Portal das Finanças não foi afectada pelo problema detectado no início do ano. “As vulnerabilidades reportadas foram integralmente resolvidas, não tendo as mesmas comprometido qualquer credencial ou informação relativa a contribuintes”, lê-se nas declarações enviadas.

O processo explorado por Miguel de Moura – que esperou que o problema estivesse resolvido antes de o tornar público – implicava inspeccionar o código das páginas online do Portal das Finanças, algo que qualquer pessoa pode fazer. Além dos campos visíveis no site, era possível ter acesso a campos escondidos do formulário, como o NIF associado a um número de telemóvel. Era possível alterar estes elementos com alguns conhecimentos de programação. 

A entidade responsável pelo Portal das Finanças acrescenta que procede, regularmente, a um processo de “avaliação de vulnerabilidades” dos seus sistemas digitais e que a informação dada pelo programador veio complementar dados dessa entidade.