Finanças demoraram seis meses a responder a alerta de segurança informática
Em janeiro, serviços foram alertados pela primeira vez para falhas no Portal das Finanças. Mas só em maio o utilizador que as detetou conseguiu que o alerta fosse atendido. Solução chegaria em julho.
No mesmo dia em que descobriu várias falhas graves de segurança no Portal das Finanças, Miguel de Moura, um estudante de engenharia do Instituto Superior Técnico, ligou para a linha de suporte do site alertando para o risco de as contas dos contribuintes poderem ser violadas. Mas só em maio conseguiu chegar às “autoridades competentes”, e ainda foram precisos outros dois meses para a questão ficar resolvida de vez, avançou a revista Exame. “Mudar a palavra passe de alguém, que é o mais grave, demorava apenas alguns segundos”, diz Miguel Moura ao jornal Público.
A possibilidade de qualquer pessoa alterar a palavra-passe de outro utilizar foi a falha de segurança mais grave que o estudante de 22 anos detetou, mas não foi a única. Em dois artigos publicados no seu site pessoal a 15 e a 17 de agosto (depois de as Finanças terem, alegadamente, resolvido o problema), Miguel Moura explica como era possível aceder à conta de outros contribuintes e detalha cada uma das falhas que foi encontrando pelo caminho: da possibilidade de obter o número de telefone de um contribuinte apenas com o seu Número de Identificação Fiscal (NIF) à alteração de endereços no Portal das Finanças para aceder a dados confidenciais dos utilizadores.
Para isso, era preciso aceder ao código da página do Portal, um passo acessível a qualquer utilizador. “A maioria dos formulários online tem campos secretos” e, explica o estudante ao Público, “no caso de pedido de alteração de palavra-passe do Portal das Finanças, eram formulários pré-preenchidos com o NIF dos utilizadores, a que um utilizador normal não deveria ter acesso, mas que eram surpreendentemente fáceis de encontrar e alterar”.
“O atacante nem sequer precisava de ter o número de telemóvel associado ao NIF de alguém”, sublinha. Através do processo de recuperação da palavra-passe, e inserindo o NIF da vítima, o atacante conseguia alterar a palavra-passe daquela conta e, assim, ter acesso a toda a informação fiscal de cada um dos contribuintes.
