Miguel de Moura é um jovem programador com um interesse particular pela área de segurança e privacidade. Foi essa curiosidade que o levou em julho do ano passado a começar a conduzir uma série de testes a diferentes grandes entidades nacionais (SNS, CTT ou CUF, por exemplo) para averiguar possíveis vulnerabilidades. Quando chegou ao Portal das Finanças, encontrou uma série delas, algumas de uma gravidade considerável.

A informação técnica está disponibilizada em dois artigos que Miguel de Moura publicou no seu site (parte um neste link e parte dois neste link, onde também está um vídeo demonstrativo), mas todos os leigos serão capazes de compreender os riscos que estavam presentes numa plataforma recheada de dados confidenciais dos utilizadores. Inicialmente, o programador deparou-se com uma série de falhas que poderiam conduzir a ataques de phishing, ou seja, que facilitavam o envio de emails falsos a fazer-se passar pela Autoridade Tributária para recolher informações do utilizador.

Contudo, as vulnerabilidades mais graves viriam depois, uma vez que estão relacionadas com o processo de autenticação no Portal das Finanças. A investigação de Miguel de Moura permitiu-lhe descobrir que bastava ter um qualquer número de NIF para conseguir descobrir o número de telemóvel que lhe está associado.

Além disso, quando entrava na zona de “Recuperar senha” do site havia uma forma de avançar sem ter de responder à “Pergunta Secreta”. Por fim, a vulnerabilidade mais grave: era possível mudar a senha de qualquer NIF. Miguel de Moura explica à Exame Informática que, para tal, bastava seguir os passos habituais dos formulários presentes no processo de recuperar senha e que a falha apenas surgia na última página. Ou seja, o atacante podia começar por usar o seu próprio NIF e telemóvel associado – uma vez que é enviado um código SMS para avançar com o processo de recuperação de password – e só no final é que poderia tirar partido da vulnerabilidade para trocar o seu NIF pelo da vítima, passando assim a ter acesso à conta fruto da utilização da nova palavra-passe.

Denunciar ou como entrar em “O Processo” de Kafka

Se tem estado a ler o artigo com atenção reparou seguramente que nos referimos sempre às vulnerabilidades de segurança no passado e há uma razão para isso. Seguindo as boas práticas de segurança em tecnologia, Miguel de Moura apenas está a tornar as falhas públicas agora porque as reportou às autoridades competentes e elas já se encontram sanadas. Contudo, o aparente simples processo de reportar as vulnerabilidades revelou-se digno de um livro de Kafka.

Miguel de Moura começou por ligar para a linha de suporte do Portal das Finanças múltiplas vezes e, de seguida, para a Comissão Nacional de Proteção de Dados (CNPD) em janeiro deste ano. Como não obteve feedback positivo, apresentou queixa à CNPD em março e contactou novamente a linha de suporte em abril. E novamente em maio… Após uma chamada de 36 minutos e 49 segundos, onde foi transferido sucessivamente entre múltiplos departamentos, o programador conseguiu finalmente chegar à fala com alguém capaz de resolver os problemas. Resultado? As vulnerabilidades foram corrigidas em junho.

Olhando para trás, Miguel de Moura reconhece que o processo de reportar casos deste género é complicado porque é difícil «chegar às pessoas certas». Depois de o conseguir, reconhece que tudo decorre de forma fluida. Além disso, refere que na altura apanhou a CNPD mais atarefada com a implementação do RGPD (Regulamento Geral sobre Proteção de Dados) e que obteve feedback positivo por parte do Centro Nacional de Cibersegurança.

E qual é, afinal, o motivo por detrás destas falhas de segurança? Miguel de Moura acredita que é por se recorrer a sistemas e código legacy, que não foram construídos de raiz para a finalidade que estão a ter. Ciente de que as equipas responsáveis dificilmente poderão fazer mais com os meios relativamente escassos que têm disponíveis, o programador sugere a criação de um mecanismo que torne mais fácil a denúncia de vulnerabilidades diretamente à equipa responsável e a realização de auditorias. É que, na opinião de Miguel de Moura, «qualquer pessoa poderia ter encontrado estas falhas».