Internet

Certificados de Aforro: Página de acesso é vulnerável?

26 Comentários

As vulnerabilidades podem ser dos mais diversos tipos. Quando se detetam é fundamental agir de imediato para que os serviços não sejam “explorados”. Será a página de acesso aos certificados de aforro (AforroNet) vulnerável a ciberataques por usar um mecanismo de autenticação considerado fraco?


O AforroNet é um serviço que o IGCP coloca à disposição dos seus Clientes para efetuarem pedidos de Subscrição de produtos de Aforro em comercialização e de Resgate de Certificados do Tesouro e de Certificados de Aforro da Série E, e Consultas à sua carteira.

Para Bruno Castro, CEO da VisionWare, a autenticação com seis dígitos e utilização de NIF para acesso ao AforroNet são passos demasiado simples para proteger os utilizadores do portal. O especialista refere que a página está completamente vulnerável a ataques de “brute force”.

 

Por outro lado, fonte oficial do IGCP garante que “o Aforronet beneficia de vários mecanismos de segurança. A arquitetura de acesso ao AforroNet bloqueia as contas em caso de tentativas de acesso múltiplas. A atividade de acesso às contas aforro é rastreada e monitorizada, sendo espoletados protocolos de ação quando a atividade de acesso é considerada anormal. São ainda promovidos testes e atualizações regulares ao sistema de informação.”

Apesar do número de tentativas estar limitado (depois só é possível desbloquear após receberem carta com código), Bruno Castro refere que o tipo de autenticação é completamente rudimentar e não era suposto vermos isso nos dias de hoje em sites do Estado.

Leia também…

Certificados de aforro: Regras podem mudar em breve

PUB
Autor: Pplware
Partilhar:
Tags:
Certificados de aforro

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Mesmo a crescer, Apple não passa a Samsung e a Xiaomi nos smartphones em Portugal
Artigo anterior

Mesmo a crescer, Apple não passa a Samsung e a Xiaomi nos smartphones em Portugal
Japão quer criar energia solar a partir do espaço até 2025
Próximo artigo

Japão quer criar energia solar a partir do espaço até 2025
PUB

Comentários

26

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de antonio s
    antonio s

    A pagina é muito segura tem esse senão ,mas durmo descansado saber que ninguem consegue alterar a minha informação nem password tem esse senão poderem bloquear e depois recebo outra passord por correio.
    Nunca tive problemas como alguma banca que anda por aí que deixam alterar tudo online. e as pessoas tem perdido milhares.
    Ainda Bem

    Responder
  2. Avatar de João Cartaxo
    João Cartaxo

    Mesmo que acedam não conseguem levantar o dinheiro…

    Responder
    1. Avatar de berlaitada
      berlaitada

      Mas ficam a saber quanto lá tens, a tua morada…

      Responder
  3. Avatar de PeFerreira
    PeFerreira

    Rudimentar sem dúvida alguma. Ao menos implementavam um 2 factor authentication para quem quisesse.

    Responder
  4. Avatar de Tobias
    Tobias

    Ilustres a fazer comentarios.
    Devia instruir-se um pouco mais.
    Qualquer empresa que forneca acesso com login de cliente seja por nif ou outro qualquer deveria obrigatoriamente fornecer aos clientes certificado de utilizador e obrigatoriamente o requerer na ligacao validando os respectivos campos.
    Infelizmente como da trabalho e o que se tem.
    O teste e feito na validacao tls apos o tcp 3 way handshake.
    Portanto nao validando nem sequer chega a fase de pedido de login/passw.

    A bem dizer a maioria das instituicoes financeiras tem uma miseria de seguranca.
    Para alem de nada de requisitos destes nem sequer dnssec logo para comecar.

    Responder
    1. Avatar de Not Tobias
      Not Tobias

      Caro Tobias. Certamente não tem experiência na área nem sabe do que está a falar. Faz ideia da infraestrutura e custo associado a manter esse tipo de autenticação? A dor que é utilizar, importar ce validar ertificados? Como vê a maior parte das pessoas comuns a conseguir fazer isso sozinhas?

      Responder
      1. Avatar de Pedro
        Pedro

        Deve ter visto na net ou nalgum sítio e acha que encontrou a pólvora.

        Basta ver o que foi quando apareceram os cartões de cidadão e os leitores de cartões, o escabeche que era para leigos (e não so) conseguirem configurar os PC’s..,

        Responder
  5. Avatar de PC
    PC

    O modo de acesso à página não é alterado há mais de 10 anos, rudimentar é dizer pouco. Deviam permitir passwords complexas e 2FA. Portugal no seu melhor… Ao menos não conseguem levantar e aceder aos fundos em caso de ataque

    Responder
  6. Avatar de Repara
    Repara

    O investigador diz que a página está vulnerável a ataques de “brute force”. O IGCP nega.
    Sei que o Username tem que ter letras minúsculas, maiúsculas e algarismos, e a Password 8 algarismos, a que acresce dois dígitos de do NIF (por ordem aleatória).
    Não fiquei convencido “que a página está completamente vulnerável a ataques de “brute force”.”

    Responder
    1. Avatar de David Guerreiro
      David Guerreiro

      Não, o username pode ser tudo minúsculas.

      Responder
      1. Avatar de Repara
        Repara

        Fui ver a minha e é como digo. Presumi que era uma exigência e não hábito meu 😉

        Responder
        1. Avatar de David Guerreiro
          David Guerreiro

          Se é exigência agora, nem sempre foi. Garanto há usernames todos em minúsculas.

          Responder
  7. Avatar de David Guerreiro
    David Guerreiro

    Aqui basicamente o que é possível fazer é bloquear contas, o que já de si é chato, e mesmo que entrem na conta, o máximo que dá para fazer é resgatar subscrições para o IBAN do titular. Só mesmo alguém por maldade, pois ninguém lucra nada a entrar no Aforronet de algum titular.

    Responder
    1. Avatar de MF
      MF

      Para além de resgatar para o IBAN do titular podem ainda fazerem outra operação … gerar referências e aplicar mais dinheiro na conta do titular!

      Responder
      1. Avatar de David Guerreiro
        David Guerreiro

        Ora, isso queria eu que fizessem

        Responder
  8. Avatar de Fulano
    Fulano

    Para além da falta de segurança parece uma página criada nos tempos do altavista. Um gajo com um monitor widescreen e a informação aparece num retângulo pequeno e letra minuscula.

    Responder
  9. Avatar de Repara
    Repara

    Já agora, há poucos dias saiu uma notícia que:
    “Os Certificados de Aforro que não sejam reclamados pelos herdeiros ao fim de uma década passam para a posse do Estado. Entre 2012 e 2022, o montante que reverteu para o Fundo de Regularização da Dívida Pública soma já cerca de 50 milhões de euros, noticia o Público.
    Em 2012, o IGCP fez um protocolo com o Instituto dos Registos e Notariado (IRN) que lhe passou a permitir saber quando morrem os aforristas, por forma a poder contactar com eventuais herdeiros, refere ainda o Público.”

    Responder
    1. Avatar de Repara
      Repara

      O imposto sucessório acabou mas há imposto do selo (10%). Estão isentos de Imposto do selo o cônjuge ou unido de facto (desde 2009), os descendentes (filhos e netos) e os ascendentes (pais e avós). São os chamados herdeiros legitimatários. Outros familiares, como irmão ou primos, pagam.
      No caso de herdarem ou deixarem em herança sem ser herdeiros legitimários convém tratar do assunto antes do fenecimento.

      Responder
  10. Avatar de berlaitada
    berlaitada

    É inseguro, assim como tudo o que é do governo. Um ataque de “brute force” com as “n” aplicações que vêm no Kali Linux (há mais sofisticados) consegue arrecadar informação em poucos minutos e depois é só descodificar se for o caso e analisar. Normalmente não é um cromo na cave dos pais com vários portáteis a correr os minutos iniciais do Matrix que vai fazer isso. Normalmente são grupos de hackers ativistas que nem se conhecem que incluem malta na cave dos pais, ok até aí têm razão e depois vendem essa informação a Altices e outros mercenários…

    Responder
    1. Avatar de Repara
      Repara

      E depois há os filmes, onde tudo pode acontecer 😉

      Responder
      1. Avatar de berlaitada
        berlaitada

        Nos filmes um país como o nosso já tinha sido feito refém de um vilão daqueles que quer vender uma arma que pode controlar um país na sua totalidade naqueles leilões clandestinos e usa Portugal como teste piloto.

        Responder
  11. Avatar de TiagoR
    TiagoR

    É mais fácil as instituições financeiras anunciarem com popa e circunstância os majestosos lucros do que o anúncio aos investimentos em segurança e assim ganharem uma maior confiança por parte dos clientes. Se a banca fosse responsabilizada pelas fraudes aos clientes com certeza que investimento em segurança era de outra dimensão.

    Responder
  12. Avatar de António
    António

    Se não podem levantar, que se vai dar ao trabalho? Só alguém estúpido!
    Porque o IBAN tem de conter o nome do beneficiário no banco, não pode alterar IBAN!
    Está polémica interessa aos bancos

    Responder
    1. Avatar de Antonio S
      Antonio S

      Exatamente interessa aos bancos e se calhar foi plantada por eles mas eles estão pior

      Responder
  13. Avatar de Joao Ptt
    Joao Ptt

    Se ao menos pudessem usar a página da autenticação.gov deixando utilizar o cartão de cidadão (para quem tem leitor de cartões) e/ ou a chave móvel digital para acederem à página.

    De certeza que estou a dizer algo imensamente difícil de implementar… eh eh

    Responder
  14. Avatar de António
    António

    Polémica mais idiota, mas já alguém conseguiu desviar dinheiro das contas?
    Acho que não, não importa método ser antigo!
    Cilos nucleares dos USA ainda usam sistema com 50 anos é o mais seguro

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.