Proponha uma correção, faça uma sugestão
Certificados de Aforro: Página de acesso é vulnerável?
As vulnerabilidades podem ser dos mais diversos tipos. Quando se detetam é fundamental agir de imediato para que os serviços não sejam "explorados". Será a página de acesso aos certificados de aforro (AforroNet) vulnerável a ciberataques por usar um mecanismo de autenticação considerado fraco?
O AforroNet é um serviço que o IGCP coloca à disposição dos seus Clientes para efetuarem pedidos de Subscrição de produtos de Aforro em comercialização e de Resgate de Certificados do Tesouro e de Certificados de Aforro da Série E, e Consultas à sua carteira.
Para Bruno Castro, CEO da VisionWare, a autenticação com seis dígitos e utilização de NIF para acesso ao AforroNet são passos demasiado simples para proteger os utilizadores do portal. O especialista refere que a página está completamente vulnerável a ataques de "brute force".
Por outro lado, fonte oficial do IGCP garante que "o Aforronet beneficia de vários mecanismos de segurança. A arquitetura de acesso ao AforroNet bloqueia as contas em caso de tentativas de acesso múltiplas. A atividade de acesso às contas aforro é rastreada e monitorizada, sendo espoletados protocolos de ação quando a atividade de acesso é considerada anormal. São ainda promovidos testes e atualizações regulares ao sistema de informação."
Apesar do número de tentativas estar limitado (depois só é possível desbloquear após receberem carta com código), Bruno Castro refere que o tipo de autenticação é completamente rudimentar e não era suposto vermos isso nos dias de hoje em sites do Estado.
Leia também...
Este artigo tem mais de um ano
Imagem: Pexels
Neste artigo: Certificados de aforro
Loading ...
A pagina é muito segura tem esse senão ,mas durmo descansado saber que ninguem consegue alterar a minha informação nem password tem esse senão poderem bloquear e depois recebo outra passord por correio.
Nunca tive problemas como alguma banca que anda por aí que deixam alterar tudo online. e as pessoas tem perdido milhares.
Ainda Bem
Mesmo que acedam não conseguem levantar o dinheiro…
Mas ficam a saber quanto lá tens, a tua morada…
Rudimentar sem dúvida alguma. Ao menos implementavam um 2 factor authentication para quem quisesse.
Ilustres a fazer comentarios.
Devia instruir-se um pouco mais.
Qualquer empresa que forneca acesso com login de cliente seja por nif ou outro qualquer deveria obrigatoriamente fornecer aos clientes certificado de utilizador e obrigatoriamente o requerer na ligacao validando os respectivos campos.
Infelizmente como da trabalho e o que se tem.
O teste e feito na validacao tls apos o tcp 3 way handshake.
Portanto nao validando nem sequer chega a fase de pedido de login/passw.
A bem dizer a maioria das instituicoes financeiras tem uma miseria de seguranca.
Para alem de nada de requisitos destes nem sequer dnssec logo para comecar.
Caro Tobias. Certamente não tem experiência na área nem sabe do que está a falar. Faz ideia da infraestrutura e custo associado a manter esse tipo de autenticação? A dor que é utilizar, importar ce validar ertificados? Como vê a maior parte das pessoas comuns a conseguir fazer isso sozinhas?
Deve ter visto na net ou nalgum sítio e acha que encontrou a pólvora.
Basta ver o que foi quando apareceram os cartões de cidadão e os leitores de cartões, o escabeche que era para leigos (e não so) conseguirem configurar os PC’s..,
O modo de acesso à página não é alterado há mais de 10 anos, rudimentar é dizer pouco. Deviam permitir passwords complexas e 2FA. Portugal no seu melhor… Ao menos não conseguem levantar e aceder aos fundos em caso de ataque
O investigador diz que a página está vulnerável a ataques de “brute force”. O IGCP nega.
Sei que o Username tem que ter letras minúsculas, maiúsculas e algarismos, e a Password 8 algarismos, a que acresce dois dígitos de do NIF (por ordem aleatória).
Não fiquei convencido “que a página está completamente vulnerável a ataques de “brute force”.”
Não, o username pode ser tudo minúsculas.
Fui ver a minha e é como digo. Presumi que era uma exigência e não hábito meu 😉
Se é exigência agora, nem sempre foi. Garanto há usernames todos em minúsculas.
Aqui basicamente o que é possível fazer é bloquear contas, o que já de si é chato, e mesmo que entrem na conta, o máximo que dá para fazer é resgatar subscrições para o IBAN do titular. Só mesmo alguém por maldade, pois ninguém lucra nada a entrar no Aforronet de algum titular.
Para além de resgatar para o IBAN do titular podem ainda fazerem outra operação … gerar referências e aplicar mais dinheiro na conta do titular!
Ora, isso queria eu que fizessem
Para além da falta de segurança parece uma página criada nos tempos do altavista. Um gajo com um monitor widescreen e a informação aparece num retângulo pequeno e letra minuscula.
Já agora, há poucos dias saiu uma notícia que:
“Os Certificados de Aforro que não sejam reclamados pelos herdeiros ao fim de uma década passam para a posse do Estado. Entre 2012 e 2022, o montante que reverteu para o Fundo de Regularização da Dívida Pública soma já cerca de 50 milhões de euros, noticia o Público.
Em 2012, o IGCP fez um protocolo com o Instituto dos Registos e Notariado (IRN) que lhe passou a permitir saber quando morrem os aforristas, por forma a poder contactar com eventuais herdeiros, refere ainda o Público.”
O imposto sucessório acabou mas há imposto do selo (10%). Estão isentos de Imposto do selo o cônjuge ou unido de facto (desde 2009), os descendentes (filhos e netos) e os ascendentes (pais e avós). São os chamados herdeiros legitimatários. Outros familiares, como irmão ou primos, pagam.
No caso de herdarem ou deixarem em herança sem ser herdeiros legitimários convém tratar do assunto antes do fenecimento.
É inseguro, assim como tudo o que é do governo. Um ataque de “brute force” com as “n” aplicações que vêm no Kali Linux (há mais sofisticados) consegue arrecadar informação em poucos minutos e depois é só descodificar se for o caso e analisar. Normalmente não é um cromo na cave dos pais com vários portáteis a correr os minutos iniciais do Matrix que vai fazer isso. Normalmente são grupos de hackers ativistas que nem se conhecem que incluem malta na cave dos pais, ok até aí têm razão e depois vendem essa informação a Altices e outros mercenários…
E depois há os filmes, onde tudo pode acontecer 😉
Nos filmes um país como o nosso já tinha sido feito refém de um vilão daqueles que quer vender uma arma que pode controlar um país na sua totalidade naqueles leilões clandestinos e usa Portugal como teste piloto.
É mais fácil as instituições financeiras anunciarem com popa e circunstância os majestosos lucros do que o anúncio aos investimentos em segurança e assim ganharem uma maior confiança por parte dos clientes. Se a banca fosse responsabilizada pelas fraudes aos clientes com certeza que investimento em segurança era de outra dimensão.
Se não podem levantar, que se vai dar ao trabalho? Só alguém estúpido!
Porque o IBAN tem de conter o nome do beneficiário no banco, não pode alterar IBAN!
Está polémica interessa aos bancos
Exatamente interessa aos bancos e se calhar foi plantada por eles mas eles estão pior
Se ao menos pudessem usar a página da autenticação.gov deixando utilizar o cartão de cidadão (para quem tem leitor de cartões) e/ ou a chave móvel digital para acederem à página.
De certeza que estou a dizer algo imensamente difícil de implementar… eh eh
Polémica mais idiota, mas já alguém conseguiu desviar dinheiro das contas?
Acho que não, não importa método ser antigo!
Cilos nucleares dos USA ainda usam sistema com 50 anos é o mais seguro