Pplware

Portal DGES – Já concorreu a uma bolsa de estudo? Cuidado!…

… os seus dados pessoais estão vulneráveis e acessíveis a terceiros!

O portal DGES – Direcção-Geral do Ensino Superior, foi o meio criado há poucos anos para comportar e gerir, entre outras coisas, as bolsas de estudo do ensino superior português, quer seja privado ou público.

O PPLWARE recebeu há alguns meses uma informação que refere com precisão como é possível aceder, de forma muito simples, a informação como o nome completo de um candidato à bolsa de estudo com o seu BI e NIF associados, bem como os nomes completos e os NIF de cada elemento de um agregado familiar.

Foram feitos vários contactos às entidades que gerem este serviço (e não só) onde se notou uma evidente despreocupação dada a ausência de qualquer resposta e a persistência da vulnerabilidade nesse portal, há já pelo menos 6 meses.

São cerca de 220.000 NOMES + NIF + BI e 200.000 grupos de NOMES + NIF que estão vulneráveis e acessíveis à distância de um Browser. Para lhes aceder não é preciso ser cracker ou hacker e não são sequer necessários “truques nem malabarismos”.

Segundo a informação que nos foi dada por um anónimo, tudo partiu de uma comunicação do serviço de bolsas do portal DGES para o candidato. Em certa altura do desenrolar do processo de candidatura, é pedido ao candidato um consentimento para tratamento de dados, nomeadamente da Situação Tributária do candidato e do seu agregado familiar. Esse pedido leva anexado um link que permite gerar um documento PDF destinado a ser imprimido e assinado pelo candidato e por cada um dos elementos do agregado familiar.

O problema em tudo isto prende-se no link fornecido nesse contacto. Trata-se de uma aplicação ASP.NET de nome ReportViewer.aspx que gera os relatórios PDF consoante os argumentos. Os argumentos no caso do relatório em questão, CandidatoID e CandidaturaID, referem-se à posição nessa base de dados do candidato e do agregado familiar associado à candidatura, respectivamente, e admitem um número inteiro. Só a partir de determinado número, tanto de candidato como de candidatura, é que existem dados de NIF e BI. De notar ainda que, até há bem pouco tempo, o portal estava dotado de uma ligação segura (https) mas… de que serviu isso quando os dados são passados desta forma?!

Aqui fica a qualidade do nosso serviço público:

/ReportViewer.aspx?Report=/RelatoriosBolsas/Autorizacao_ST&CandidatoID=XXXXXX&CandidaturaID=XXXXXX

O documento PDF gerado tem este aspecto.

Actualmente, dados como o NIF e BI são a chave para fazer a generalidade das operações via telefone, email ou outro, que implicam a confirmação da identidade. Este completo desprezo pela privacidade, infelizmente, é ainda método de trabalho de “muito boa gente” que concebe e desenvolve este tipo de serviços.

Ontem, dia 15 de Maio de 2012, fiz um contacto telefónico para a DGES. Fui transferido para o devido departamento, expus a situação (com detalhe “qb”) e pediram-me para aguardar. O tempo que aguardei foi suficiente para que a minha explicação fosse propagada e a resposta que tive, da mesma senhora que me atendeu, foi que “a equipa estava em reunião”. Essa senhora solicitou o meu contacto para que eu fosse contactado de volta, ligação essa que (ainda) não aconteceu.

No referido portal, em Aspectos Legais, pode ler-se o seguinte:

“Na eventualidade do fornecimento de dados pessoais por parte do utilizador, o operador do site assegurará a licitude do tratamento dos mesmos, em obediência à legislação aplicável. Será nomeadamente assegurada a indicação da finalidade de recolha de tais dados, bem como o seu não tratamento posterior de forma incompatível com essas finalidades.”

É lamentável que hoje em dia a preocupação quanto ao tratamento da informação privada tenha de partir do utilizador, aquele sobre o qual são quebrados N termos de privacidade todos os dias e muita legislação que é simplesmente ignorada. E tudo piora quando são feitas tentativas, recursivamente, para alertar que existem falhas na segurança dos dados e forma como são tratados… as portas simplesmente estão fechadas e a divulgação pública é, como de costume, a triste solução para os problemas se resolverem.

Exit mobile version