Proponha uma correção, faça uma sugestão
Portal DGES – Já concorreu a uma bolsa de estudo? Cuidado!…
... os seus dados pessoais estão vulneráveis e acessíveis a terceiros!
O portal DGES - Direcção-Geral do Ensino Superior, foi o meio criado há poucos anos para comportar e gerir, entre outras coisas, as bolsas de estudo do ensino superior português, quer seja privado ou público.
O PPLWARE recebeu há alguns meses uma informação que refere com precisão como é possível aceder, de forma muito simples, a informação como o nome completo de um candidato à bolsa de estudo com o seu BI e NIF associados, bem como os nomes completos e os NIF de cada elemento de um agregado familiar.
Foram feitos vários contactos às entidades que gerem este serviço (e não só) onde se notou uma evidente despreocupação dada a ausência de qualquer resposta e a persistência da vulnerabilidade nesse portal, há já pelo menos 6 meses.
São cerca de 220.000 NOMES + NIF + BI e 200.000 grupos de NOMES + NIF que estão vulneráveis e acessíveis à distância de um Browser. Para lhes aceder não é preciso ser cracker ou hacker e não são sequer necessários "truques nem malabarismos".
Segundo a informação que nos foi dada por um anónimo, tudo partiu de uma comunicação do serviço de bolsas do portal DGES para o candidato. Em certa altura do desenrolar do processo de candidatura, é pedido ao candidato um consentimento para tratamento de dados, nomeadamente da Situação Tributária do candidato e do seu agregado familiar. Esse pedido leva anexado um link que permite gerar um documento PDF destinado a ser imprimido e assinado pelo candidato e por cada um dos elementos do agregado familiar.
O problema em tudo isto prende-se no link fornecido nesse contacto. Trata-se de uma aplicação ASP.NET de nome ReportViewer.aspx que gera os relatórios PDF consoante os argumentos. Os argumentos no caso do relatório em questão, CandidatoID e CandidaturaID, referem-se à posição nessa base de dados do candidato e do agregado familiar associado à candidatura, respectivamente, e admitem um número inteiro. Só a partir de determinado número, tanto de candidato como de candidatura, é que existem dados de NIF e BI. De notar ainda que, até há bem pouco tempo, o portal estava dotado de uma ligação segura (https) mas... de que serviu isso quando os dados são passados desta forma?!
Aqui fica a qualidade do nosso serviço público:
/ReportViewer.aspx?Report=/RelatoriosBolsas/Autorizacao_ST&CandidatoID=XXXXXX&CandidaturaID=XXXXXX
O documento PDF gerado tem este aspecto.
Actualmente, dados como o NIF e BI são a chave para fazer a generalidade das operações via telefone, email ou outro, que implicam a confirmação da identidade. Este completo desprezo pela privacidade, infelizmente, é ainda método de trabalho de "muito boa gente" que concebe e desenvolve este tipo de serviços.
Ontem, dia 15 de Maio de 2012, fiz um contacto telefónico para a DGES. Fui transferido para o devido departamento, expus a situação (com detalhe "qb") e pediram-me para aguardar. O tempo que aguardei foi suficiente para que a minha explicação fosse propagada e a resposta que tive, da mesma senhora que me atendeu, foi que "a equipa estava em reunião". Essa senhora solicitou o meu contacto para que eu fosse contactado de volta, ligação essa que (ainda) não aconteceu.
No referido portal, em Aspectos Legais, pode ler-se o seguinte:
"Na eventualidade do fornecimento de dados pessoais por parte do utilizador, o operador do site assegurará a licitude do tratamento dos mesmos, em obediência à legislação aplicável. Será nomeadamente assegurada a indicação da finalidade de recolha de tais dados, bem como o seu não tratamento posterior de forma incompatível com essas finalidades."
É lamentável que hoje em dia a preocupação quanto ao tratamento da informação privada tenha de partir do utilizador, aquele sobre o qual são quebrados N termos de privacidade todos os dias e muita legislação que é simplesmente ignorada. E tudo piora quando são feitas tentativas, recursivamente, para alertar que existem falhas na segurança dos dados e forma como são tratados... as portas simplesmente estão fechadas e a divulgação pública é, como de costume, a triste solução para os problemas se resolverem.
Este artigo tem mais de um ano
Loading ...
Com um erro destes no minimo a demissão do director dos serviços de informática e o fim das relações com a empresa/empresas que fizeram o site e auditorias.
Diria que no mínimo imediatamente mudar essa forma de obter os dados!!
O exemplo que não vem de cima…
Isso é uma lição para as empresas/escolas que não dão formação adequada aos funcionários. Que vergonha!
Ainda está assim Hugo?! 😐 Bem me lembro quando falámos disto e a facilidade com que, através de um script de brute-force, se conseguem gerar as combinações todas possíveis e extrair tudo direitinho para uma tabela.
Dêem conhecimento disto à SIC!
Sim, porque já se viu que alertando as entidades responsáveis é igual a estar quieto.
A questão é que quem dirige organismos e elementos estatais, não tem a minima sensibilidade para a informática e tudo que daí deriva! (digo na maior parte dos casos, não será na totalidade!) E estas pessoas só sabem lidar com outras que pensem da mesma maneira, assim geram-se dois factores, 1.º inexistencia de uma politica de actualização e infoamção dos sistemas informaticos, 2.º bloqueio de quem quer promover a evolução informática dentro desses organismos!
Assim contiuamos com mentalidade retrogada à frente dos designios do País…
É de facto inacreditável , devem ter sido contratados mais uns boys que não pescam nada de nada e depois dá nisto .
Cumprimentos
Serva
Gosto do caminho “BrightPartners” .
NullReferenceException]: Object reference not set to an instance of an object.
at SQLRS_ReportViewer.ReportViewer.Page_Load(Object sender, EventArgs e) in D:\Empresa NBRSolutions\Projectos\BrightPartners\BeCool\Code\WWW\Bolsas-ReportViewer\ReportViewer.aspx.vb:line 137
Ainda agora testei um número ao calhas e deu xD
Isto nem um inciante em programação web faz destas coisas, infelizmente brinca-se com coisas serias neste pais.
Serao estes os artistas?
http://www.brightpartners.com/
O próprio site deles também tem problemas de SQL injection, portanto não devem saber fazer melhor 😛
Podemos processa-los?
Penso que sim…o portal não foi financiado pelo estado? fomos nós que pagamos esta m*rda!
Ainda pra mais os erros que a aplicação gera são visiveis ao utilizador sem qualquer tratamento.
Basta não preencher um dos ID’s para dar erro.
Como o leitor “João” do comentário em cima alerta “D:\Empresa NBRSolutions\Projectos\BrightPartners\BeCool\Code\WWW\Bolsas-ReportViewer\ReportViewer.aspx.vb”
ok foi fácil chegar lá http://www.nbrsolutions.pt/
Infelizmente o país está cheio destes casos em organismo públicos. Os de fora é que são bons, mesmo havendo boas equipas internas, mas há que dar projectos para empresas, projectos pagos a peso de ouro.
Há que punir os acomodados nos cargos de chefia dos organismos publicos.
E depois vem a manutenção destas aplicações…
Boa tarde, relativamente à empresa NBRSolutions, trata-se de uma empresa com 3 sócios-gerentes que se denominam Engenheiros, mas na realidade nem todos o são. No entanto,a questão central é que são sub-contratados pela BrightPartners para realizar este tipo de projetos sem colaboradores suficientes, é necessário investir para ter qualidade, mas isso não acontece porque a BrightPartners ganha 10, a NBRSolutions 5 e no final o objetivo é puramente o lucro e não a qualidade do serviço.
Obrigado por essa informação adicional.
Tropecei num nome interessante:
** endereço removido **
Brincadeira à parte, isto é grave, muito grave mesmo…
Eu já sabia deste caso, já tinha comentado com bastantes pessoas até.
Isto chega a ser ilegal visto que existe legislação contra estas coisas.
Mas como sempre, o pobre nada pode fazer contra o rico…
Lembro-me na altura em que me registei, que aquilo tinha erros, até tiveram de chamar um técnico para resolver um problema. Tive quase 30 min ao telefone à espera.
Na altura tinha medo que isto pudesse acontecer, cheguei a dizer aos meus pais que podiam usar a informação para outro tipo de coisas, e eles disseram-me que não.
Tenho vontade de telefonar para lá e perguntar que tipo de serviço é que eles fornecem. O pior é que sou obrigado a registar-me ou a estar registado no site deles se quiser bolsa de estudo.
A programação em ASP que estes gajos aprenderam devia ter sido melhor.
Também acho que isto devia ser publicado num meio um pouco mais mediatico tipo a sic como ja foi referido. Até porque como estudante universitário vou ter que fazer revalidação da bolsa de estudo onde iremos ter que preencher novamente esse pdf (burocracia portuguesa como de costume) e gostaria de o fazer de forma segura, visto que esta revalidação vai ter que ser feita muito brevemente.
Um sincero obrigado por chamarem à atenção para este tipo de perigos.
Boa sorte a contactar o estado.
Entrei em contacto com um ministério para a realização de um projecto, enviaram-me e-mail e fax que estão a analisar o meu pedido…… e já vão 8 meses à espera.
e eu a espera do meu e-escola já a uns 5 anos… que opção temos senão ficarmos a espera…
aqui na tuga os programadores de .NET saltam das universidades que nem fabricas de paozinhos quentes, depois dá nisto.
Mas o k é k a universidade tem haver com a programação em .NET? Nunca andei na universidade e sei programar em .NET, alias sei programar mesmo antes de haver .NET….
Mais…o Bill Gates criou a microsoft sem curso universitário ides aspas para steve jobes.
Vires para aqui culpar as universidades é estupido da tua parte! Ainda para mais a afirmação de que é só aqui na “tuga” tás mal muda-te pá!
A grande falha de segurança deve-se à não validação dos dados que são enviados por GET. Não é por os argumentos não serem encriptados que torna um site penetrável, mas sim a não validação dos parâmetros recebidos…
Os autores desta quebra à segurança de dados pessoais não deverão estar ligados a estas empresas http://www.nbrsolutions.pt/ e http://www.brightpartners.com?
Aqui (http://www.dges.mctes.pt/DGES/pt/Geral/MenuTopo/QuemSomos/ORGANOGRAMA.htm) podem ver quem são os responsáveis em última instância.
Esse organograma da DGES está bué desatualizado! Os diretores já não são os mesmos.
http://www.brightpartners.com
Acredito que sejam esses os gajos, se escreverem %%% na pesquisa do site deles devolve os resultados todos… apesar de serem só 65 resultado…
Nem tentei fazer sql injection com medo de dar cabo do site.. loool
como esta, existem mtas outras. Para exemplo, quem faz o cartao de socio na EXPONOR, da os seus dados pessoais todos e depois ao fazer uma pesquisa no GOOGLE (sim isso mesmo, no GOOGLE), conseguimos entrar nos dados pessoais dessas pessoas directamente no sistema da EXPONOR. Ja fui vítima disso, colaboradores da minha empresa tb. Ao ligar para la, fomos passados para no mínimo 10 pessoas, e no final disseram que iam averiguar. Até hoje (isso foi exactamente ha um ano atrás) .
Isto é uma vergonha! Não tinha conhecimento desta situação. Eu estou completamente chateado sabendo que os dados do meu agregado familiar está assim ao “Deus dará”. Sei que ao partilhar isto estamos ainda a dar mais visibilidade aos dados quem concorreu a bolsa de estudos como eu, mas penso que é a unica maneira de todos juntos mostrarmos o nosso desagrado e se houver mais pessoas a manifestar a sua revolta, também será mais facil sermos ouvidos, pois fica em causa os seus nomes! Vamos fazer isto chegar aos ouvidos do máximo de numero de pessoas possível.
Foi, de facto, a única forma de ser ouvido. 6 meses de “luta” em contactos sem uma única resposta.
Se havia necessidade de isto chegar a público? Não, nenhuma, mas quem manuseia os nossos dados pessoais tem a obrigação de zelar pela sua segurança.
Se isto chegar à TV, seria óptimo saber que foi aberto um inquérito para chamar alguém à responsabilidade, não só pelo erro cometido mas também por terem sido ignorados contactos (meus e não só, como aqui se pode ler) no sentido de alertar o problema.
Isto sim, é serviço publico!
Concordo, pplware a fazer serviço público!
http://www.brightpartners.com/frontoffice/evento.aspx?id=LOL
Ao menos são coerentes. Fazem a mesma bodega no site deles que fizeram no dos clientes.
Sem comentários…..
Testei com o meu id de candidato e o id de candidatura e não funcionou. Não é so copiar o link que fornecem no browser e trocar os “xx” pelos numeros respetivos? gostava de verificar o acesso a milha folha pelo link…
Pelo que me apercebi, os IDs do link podem ser diferentes daqueles “oficiais” que tens.
De qualquer forma, o serviço encontra-se agora indisponível, já não dá para testes.
Afinal não era tão difícil assim resolver o problema, parece que foi rapido. Quando o nome deles está em jogo até parece que se tornaram “génios” instantaneamente lol. Quando a prioridade é apenas a existência dos serviços e não a qualidade deles, e segurança da privacidade das pessoas, está tudo arruinado!
LIKE!
Ora cá está: Service Unavailable
É caso para dizer “IT JUST WORKS!”.
Relembro a última frase do artigo:
“… a divulgação pública é, como de costume, a triste solução para os problemas se resolverem.”
é só ameaçar e já está! hahahah 😆
man..! esse povo só se mexe quando é humilhado em publico.
Ainda bem que vocês andam em cima destas coisas e tomam medidas em relação a isso, pois para o comum dos mortais isso passaria totalmente despercebido.
Continume com o vosso bom trabalho!!!!
Triste é ver que empresas como estas vingam e têm clientes. E se um de vós se lançar para o mundo, talvez viva à rasquinha para ter uns projectos.
Estes gajos os projectos caem-lhes em cima, portanto não custa ter uma empresa. Viva o mundo dos conhecimentos.
Infelizmente concordo contigo!!!!
è so hackers aki, sao os maiores pa!
Hackers?!?!
Tu és sem dúvida o maior ignorante deste forum!
Forum? Qual forum?! lol
A solução é puxar todos os documentos à bruta, passar os PDFs para texto e minar até encontrar o nome de (ex)ministros e (ex)deputados e depois meter isso tudo na Inter Rede.
A pesquisa do site da dges não funciona. Dá erro ao fazer pesquisa.
Também está óptimo 🙂
Estes gajos como programadores deviam ter vergonha na cara. Porcaria de código.
Concordo eu estou no primeiro ano em informatica é abismal o pouco senso comum que existe,algo facil de resolver se para tes acesso ao pdf este teria de ser tirado com a passe dada por eles
Tornar pública esta informação, deveria ser apenas após a DGES ter sido alertada para o problema, concedido tempo razoável para correção da anomalia.
Pele que vejo, o autor deste artigo fez um contacto com uma assistente administrativa e fico-se por aí.
Que outras medidas foram tomadas para informar os responsáveis e permitir que este problema seja corrigido?
O suficiente para que soubessem que o problema está a ocorrer.
Aliás, a partir do momento em que foram contactados, tinham, de forma imediata, obrigação de resolver esses problemas gravíssimos e repito, gravíssimos!, de exposição de dados privados.
Quando isto for notícia da SIC ou outra qualquer televisão, então aí, sim, como já toda a gente sabe, vão correr a alterar a segurança do portal. Infelizmente, o bom português só corre quando está perto do abismo.
E viste, Francisco, como resultou? Estão agora protegidas as pessoas (os seus dados) que figuravam naquele sitio.
Caro Alexandre,
Considerar “tempo razoável” é subjectivo. De quanto deveria ter sido esse tempo? 1 ano? 3 anos?
É que 6 meses já lá vão…
Desde Novembro, altura em que tive conhecimento do problema, que os contactei via email. Em Abril passado tornei a enviar email. Ontem liguei e mandaram-me claramente dar uma volta porque “estavam em reunião”.
Porque me pediram contacto?! Afinal não era para me ligarem…
Caro Hugo,
A reposta que deu “É que 6 meses já lá vão…” é o que eu queria saber.
Há outras formas de lidar com situações sensíveis como esta. Não posso censurá-lo por não as conhecer. De qualquer modo, algumas possíveis formas de abordar o problema já foram aqui indicadas. E de acordo com que é do meu conhecimento, não demoraria mais do que 1 ou 2 semanas.
Cumprimentos
Já agora, outras medidas?! Devia então ter ido até Lisboa e ajoelhar-me à porta deles para me ouvirem?
Se ontem tivessem dado importância ao meu contacto, tinham-me atendido devidamente. Eu identifiquei-me como administrador do site Pplware, parceiro do portal Sapo.
Os responsáveis, pela calamidade que cometeram, merecem isto e muito mais.
Concordo com o Alexandre. Existem canais próprios para comunicar e informar este tipo de assuntos, e esses canais não são um email para a secretária ou um telefonando que é Administrador do site pplware (wtf? isso agora é um titulo para ser levado a sério?). Expondo este assunto ao público quando a falha não foi corrigida, só revela que este post foi feito por:
– Ignorância;
– Promoção Pessoal;
– Ambos;
Nada, mas nada me garante que após esta noticia ninguem tenha gamado os dados e estarem a ser usados para fins ilicitos.
Que outros meios é que poderiam ter sido utilizados em vez de um post publico e um telefonema para a secretária?
– Contacto directo à empresa que desenvolveu o site;
– Contacto à Comissão Nacional de Protecção de Dados;
– Comunicação ao CERT.pt;
Para além do mais, de certeza que houve utilizadores do pplware que na posse desta informação, foram testar esta vulnerabilidade. Espero que tenham a ideia que cometeram um crime punivel pela Legislação Portuguesa.
Antes de se perguntarem se podem fazer determinada coisa, comecem antes a pensar se **DEVEM**!
sa não entres no disparate… quando conseguisses encontrar “essa gente toda” que citas… já os dados estavam a ser vendidos a bom preço.
Portanto, o método mais eficaz foi…. o que usamos. Está resolvido em menos de um piscar de olhos.
Quando ao crime punível pela legislação portuguesa… não cometemos nenhum, informar e prevenir é UM DEVER CÍVICO, entendes?
Este post foi feito por alguém com civismo (não, esquece não estou a falar de ti) e que agiu em conformidade.
Portanto, foi feito serviço público, como alguém já referiu e muito bem.
“Administrador do site pplware (wtf? isso agora é um titulo para ser levado a sério?)”
Se calhar devia… pelo menos algo já foi feito para a resolução do problema. Já fizemos mais que tu hoje!
“Nada, mas nada me garante que após esta noticia ninguem tenha gamado os dados e estarem a ser usados para fins ilicitos.”
E o que te garante, o que quer que seja, até à hora de publicação deste artigo? Há quanto tempo existirá esta falha de segurança? E em quantos mais locais?
Agora, depois deste artigo, sim! Há a mínima garantia que, pelo menos desse lado os dados estão protegidos.
Isto não foi um hack ou um teste de vulnerabilidade a determinada protecção, isto trata-se de um ACESSO, simples e claro como H2O!
Eu até te dava alguma razão se alguns desses órgãos demonstrasse algum tipo de competência em lidar com estes problemas. O que não é o caso.
Acreditar que o reportar mais responsavelmente este problema teria um efeito mais célere e/ou positivo é pura fantasia.
Há aqui falhas do Estado a vários níveis:
– Contrata empresas com pessoal pouco qualificado
– Não tem normas de segurança e/ou auditorias eficazes
O resto é conversa da treta na busca de dar mais atenção à forma como o problema foi reportado, do que às causas e resolução do problema em si.
Não? Conheces o trabalho dos organismos acima referidos?
Não, admito que sejam competentes, mas não lhes conheço nenhuma demonstração disso.
Consegues apresentar algo nesse sentido ?
Branqueamento é o que estás a promover.
Alexandre… Alexandre… pois foi o que tentamos fazer e sabes o que aconteceu?
😀 Nada, acertaste (bem raciocinado) e sabes como foi resolvido o caso?
Quando publicamos o artigo e o propagamos pelos quatro cantos do mundo… foi limpinho.
E sabes porque apenas, o autor do artigo, só chegou à “assistente administrativa”? Porque ela ficou de comunicar e alguém responsável pelo site entrar em contacto… e sabes o que aconteceu?
Boa de novo, voltaste a acertar… ninguém lhe ligou!!!
Sabes bem como é o nosso país… ou será que não sabes?
Tempo razoável para esperar resposta a contactos de muitos serviços públicos é algo próximo do nunca, no melhor caso, mêses.
Entretanto quem conhece a falha e não a divulga pode tirar partido da mesma e utilizar a informação que não deveria.
O problema é que há pessoas que não têm vergonha 🙁 Se tivessem…
Comecem a brincar com o gave, e pode ser que encontrem alguma coisa divertida tambem ^^
http://extra.gave.min-edu.pt/login.jsp
essa ai já não percebi. explica ai
Parabéns Hugo pelo excelente artigo!!
Vamos divulgar uma, duas, três vezes até chegar a um maior número de pessoas, estas situações não podem ficar esquecidas, trata-se da nossa vida exposta a qualquer um. É um crime grave, agravado pela desvalorização da situação pelas entidades responsáveis!
Vou partilhar novamente!
Quando a corrupção e a incompetencia grassam na função publica. Quando o “amiguismo” e a cunha são o único meio de entrar e fazer carreira nos organismos do estado. E quando as pessoas competentes e sérias são afastadas, corridas e postas de lado claro que o resultado só podia ser este.
Eu tenho pena que os culpados deste episódio nunca sejam responsabilizados nem culpados de nada, e que as pessoas que infelizmente foram obrigadas a utilizar este serviço é que venham a ter problemas.
E até tremo de pensar que algo semelhante possa acontecer nos sites da segurança social e das finanças. Felizmente temos tido sorte.
Acabei de mandar um e-mail à SIC com esta situação na esperança que a divulguem e que posteriormente seja resolvida tal como muitos assuntos foram no programa Nos por Cá
Acabei de mandar para o Correio da Manhã, tentei com a TVI mas recebi resposta a dizer que a caixa de email estava cheia.
Lembro-me de a um ano ter acesso a um ficheiro no site de uma câmara municipal, com o nome de um dos pais, contacto, nome dos filhos, idade, escola que frequentam.
Continha dados muito sensíveis.
Pelo que percebi o “botão” para a descarga só estaria disponível a quem estiver autenticado.
Mas se esquecem que alguém que saiba o link, ou não impedir que os motores de busco indexem o mesmo, qualquer um pode descarregar, e quando da descarga não fazem nenhuma validação.
Não era necessária qualquer autenticação.
Nada, sabendo o link fazemos a descarga na boa.
Não tinha percebido os pormenores quando dei a 1ª resposta.
Agora percebi e é um caso bastante semelhante a este.
Digo validação, porque já era bom que verificasse se o usuário esta autenticado previamente, caso contrario enviar alguma mensagem de ‘acesso negado’.
Quanto a segurança, claro que uma pagina normalmente direcciona para a autenticação.
Eu solicitei informações à CNPD.
Podem fazer o mesmo aqui:
http://www.cnpd.pt/bin/duvidas/duvidas_frm.aspx
Responderam-me hoje…
—
Exmº Senhor …,
Em resposta ao seu e-mail, vimos, em primeiro lugar, pedir as nossas desculpas pela demora da nossa resposta, mas o elevado número de solicitações não nos tem possibilitado ser mais célere.
Qauanto á questão que nos coloca, informa-se que efectivamente confirma-se que essa ituações exitiu, no entanto, a entidade já alterou o procedimento já não se encontrando disponível os dados pessoais.
Caso verficiar que não está a ser cumprido o legalmente previsto, pode optar por formular uma queixa para que a CNPD posa agir em conformidade com a Lei.
Com os melhores cumprimentos,
—-
Olá Hugo,
quando fizeste os primeiros contactos informaste a DGES de
qual era concretamente a vulnerabilidade em causa ?
Pedro é mandar-lhes este link e eles que se enxerguem … https://pplware.sapo.pt/informacao/portal-dges-ja-concorreu-a-uma-bolsa-de-estudo-cuidado/
Tenho conhecimento dessa burrice desde o início do ano. Comuniquei essas informações aos professores da minha escola e eles nem sequer fizeram caso.
Todos os pólos do IPVC assim como outros institutos politécnicos utilizam esses dados por defeito em qualquer conta interna, Email, SAS, moodle… Geram um nome de utilizador com determinados padrões a partir do nome do aluno ou professor, João Fernandes Esteves, “jofernandes”, “joesteves”, “joaoesteves” e a password é o B.I. O mesmo acontece para os professores mas a password ao invés de ser o B.I é o N.I.F ou o número de candidatura. É possível ter acesso aos emails dos professores, alunos, cadeiras do moodle, notas do moodle, trabalhos, serviços de ação social, propinas, débitos, dados pessoais…Mil e uma coisas. Basta um pouco de criatividade para fazer altos estragos.
O problema é que acho que não é possível alterar a password nem o nome de utilizador. Até agora não tenho conhecimento de tal ação, se existir está muito bem escondida.
Fica este testemunho de um aluno para alguns “inteligentes”, que opinaram de forma severa contra o nosso post, lerem.
Essa prática não se estende só a esta instituição. De vários casos, eu conheço uma pessoalmente que é o Jumbo On-line. Em tempos idos, bastava-me identificar-me com o meu email e a pass era o nr. de contribuinte.
Conheço também outros casos em que a ID é o numero de contrato (fácil de conseguir) e a pass é o dia e mês dessa conta.
Enfim…
É possível fazer a alteração da password mas é necessário ir ao “apoio informático” do polo…
Pelo menos era assim…
Boa tarde,
sou jornalista do PÚBLICO e fui alertado para este problema e estamos a fazer todos os esforços para sair com uma notícia amanhã sobre o assunto. Gostar de entrar em contacto em privado com o Hugo Cura, autor da publicação.
Melhores cumprimentos,
Samuel Silva
Apertem com eles!
As vulnerabilidades detetadas são preocupantes mas pior que isso é o fato de terem sido avisados e não terem passado puto à situação.
Ou são ignorantes pois não conhecem a legislação relacionada com os serviços que disponibilizam ou são negligentes. Por mim dava direito a redução do ordenado (não digo despedimento pois a situação ’tá preta).
Surtiu efeito na comunicação social em varias vertentes.
Alem do Publico outras se manifestaram.
Vejam aqui:
http://www.google.com/search?q=dados+pessoais+de+220&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pt-PT:official&client=firefox-a
Cumprimentos
Parabéns por este artigo. Chegou à comunicação social. Foi muito mau ver a inoperância deste assunto por parte das entidades públicas. Foi um serviço público o que o pplware e o autor do artigo fizeram.
Isto lembra-me um report que fiz a 2 das maiores entidades bancárias em Portugal sobre um script que torna possível “roubar” os dados dos utilizadores dos bancos.
O script está em forma de .dll e fica na pasta system32, não é detetado pelos antivirus mais comuns e o website é o original sendo a unica diferença, uma textbox extra que pede o número de telemovel.
Reportei isto para ambos os departamentos de informática dos bancos e eles trataram isto como “Phishing” o que não é o caso visto que o site É O VERDADEIRO com https e acedido através do endereço. Não adiantaram nada, deram um beca beca e nem sequer se importaram com o caso.
Voltei a ligar 1 semana depois e disseram que não tinham conhecimento do caso e que iriam averiguar. Provavelmente se ligar outra vez continuam sem conhecimento.
Parabéns pelo serviço prestado PPLWARE.
Só de pensar que 400.000€ já foram pagos e esta ‘empresa’ com o dinheiro dos nossos impostos…
https://webmail.rae.min-edu.pt/CookieAuth.dll?GetLogonWrapper?url=%2F&reason=0
O que ser tal coisa ^^ ?
Muahah xD
…e assim vai Portugal…
Parabéns ao PPLWARE por fazer com que serviços públicos pagos pelos contribuintes funcionem melhor.
O pior de tudo é serem avisados dos problemas e não quererem saber, mereciam um processo por negligencia por parte dos alunos candidatos à bolsa de estudo.