Proponha uma correção, faça uma sugestão
AforroNet: o que se passa com o site dos Certificados de Aforro?
Os incidentes informáticos são uma realidade e há diariamente informação de serviços que foram atacados. O AforroNet está atualmente offline e as informações indicam que houve um "Acesso Indevido".
AforroNet: o site que permite consultar e gerir certificados de aforro
O site AforroNet, da Agência de Gestão da Tesouraria e da Dívida Pública (IGCP), está indisponível há já alguns dias. Quem tenta aceder ao site, recebe a informação que "Estamos a melhorar as condições de segurança do serviço AforroNet. Esperamos ser breves. Todos os serviços associados às contas de aforro estão assegurados através da rede dos CTT. As nossas desculpas pelo inconveniente causado."
Segundo revela o Expresso, a indisponibilidade resulta de um "acesso indevido a dados pessoais constantes no AforroNet", que já terá sido reportado à Comissão Nacional de Proteção de Dados" e que "está a ser investigado".
De relembrar que em agosto os clientes receberam um e-mail que solicitava a alteração da password.
Estimado cliente, informamos que, na sequência do processo de otimização dos níveis de segurança, o IGCP está a solicitar a alteração da password em uso
Atualmente, quem quiser movimentar os seus certificados de aforro tem de se dirigir às lojas físicas dos CTT. Não há qualquer tipo de indicação sobre quando a plataforma estará disponível.
Loading ...
Segundo o RGPD se houve fuga de dados os titulares têm de ser informados. Alguém foi?
não…
Isso é só meia verdade. O RGPD está cheio de outras condicionantes que podem ser efetuadas para que essa comunicação não seja obrigatória só porque existiu uma fuga de informação.
Desconhecia esses “buracos”. Consegues dar um exemplo que hipoteticamente se possa aplicar neste caso em concreto?
Existe um conjunto de fatores que podem determinar ou não a necessidade de comunicação individual.
Exemplos:
-Depende do tipo de informação exposta… (Não basta que o nome tenha sido exposto)
-Foram tomadas medidas técnicas adequadas posteriores, que permitiram mitigar o risco…
-Esforço desproporcional… Em vez de contactos individuais pode ser uma comunicação pública.
…
…
O RGPD já se aplica ao Estado?
CTT não é estado.
aforronet nao é dos CTT.. é IGCP
Se a password tiver ficado bloqueada, é preciso o nº da conta aforro para recuperar a conta. Se não apontaram o nº da conta, têm que o pedir num balcão dos CTT.
A mensagem no site Aforronet-IGCP diz que:
“Todos os serviços associados às contas de aforro estão assegurados através da rede dos CTT.”
O mais é usar a app dos CTT-Correios de Portugal. Tem uma área para os Certificados de Aforro. A ativação envolve a Chave Móvel Digital. Depois da ativação pode conhecer a posição da conta e subscrever certificados.
Para estar à vários dias indisponível, ou a equipa de segurança está atarantada – ou de férias – e não dá com o problema, ou o caso é muito mais grave que um “acesso indevido” aos dados…
O sistema pediu a alteração da password. Alguns, como eu, recorreram à criação aleatória, incluindo caracteres que não eram suportados pelo sistema. O problema é que o site aceitou essa password, mesmo fora dos parâmetros. Depois ao fazer login dávamos com um erro de password incorreta. Lá tive que recuperar a password e criar uma dentro das condições.
Ora, foi neste processo que alguns users no reddit se depararam que ao recuperar a conta, após o login, entravam numa conta que não a do próprio.
A ser verdade, é bastante grave.
Equipa de segurança Hahhahaha
Acredito que o problema neste caso foi a facilidade que com um NIF qualquer se conseguia fazer um brute force e facilmente se chegaria à senha do utilizador, pois a password era de apenas números e 6 dígitos no máximo.
Era imprescindível atualizar o processo, mas acredito que estejam receosos que o público alvo deste portal que pouco percebe de informática depois não consiga usar.
Acho mal não terem mais segurança disponível, novo formato de password julgo ter um limite de caracteres muito pequeno. Colocar limite de 120 símbolos não pesa assim tanto na BD… outra opção é 2FA, para quem souber/quiser usar.
O acesso não era feito por NIF. Tem user + pass + controlo por NIF.
Mesmo com NIF válido, nunca conseguia um brute force… ao final da 3 tentativa (são 1000000 de possíveis combinações para 6 dígitos) a conta era bloqueada e só podia ser recupera pelo envio de uma carta para a morada registada no site.
99,9999% acima da segurança que afirma saber que era.
Pelo menos o simulador continua a funcionar.
O que me parece estar a acontecer é uma migração de plataforma ou tentativa de se forçar a segurança e deu asneira. Ora então há dias, tentei entrar na minha conta e recebi um aviso que tinha de mudar a minha password para uma mais forte (ao contrário da super easy peasy password que apenas aceitavam). Lá mudei a password e o que é certo é que deixei de ter acesso à conta. Passado um dia se tanto, deparei-me com essa mensagem que já mora aí há pelo menos 2 semanas. Portanto, parece-me que houve uma tentativa de migração que falhou e eles fecharam para correção. Dado que férias + problemas vários que deve de andar dentro dessa plataforma super antiga, está a atrasar todo o processo.
Mudei a pass e ainda usei a nova durante 4 dias. Só depois deixei de a poder usar.
Creio que o problema foi na actualização da password que alguém terá descoberto forma de fazer o download da lista de username dos utilizadores, algo normal nestes updates, que fica em acesso simples, para adicionar à nova base de dados.
Não era mais fácil a CMD?
Estamos no ano 2024 e não no tempo das disquetes.
Resolvam esta trapalhada, pois parece que é para alguém ganhar mais uns quantos euros.
Com a app CTT-Correios de Portugal (dos CTT) tem-se acesso aos á conta de certificados de aforro. A ativação da app envolve a CMD.
Provavelmente é o caminho que o IGCP irá seguir para os certificados – criar uma app com autenticação através de CMD.
Pois mas resgatar tá quieto. Vai-se como no tempo da Maria Cachucha aos correios apanhar filas
Está-se a falar de uma app dos CTT – subscrever não tem risco, resgatar tem.
mas já agora, no Aforro.net dava para resgatar, certo!??
Um é do IGCP e o outro dos CTT.
No Aforro net pode-se fazer o resgate . tem que se ter o NIB associado
eu alterei a password tal como me pediram, segui todos os passos, o sistema aceitou a nova password. Depois quando voltei a fazer login com a nova password, dava como invalida. Só consegui voltar a fazer login fazendo recuperação de password, utilizei a mesma password e funcionou. Alguma coisa não estava a funcionar bem nos servidores. Até o site affornet voltar a funcionar podem utilizar a App CTT para subscrever, consultar certificados.
Not your “keys”, not your paper money!
Já foram!
Tenho que ver o que se passa com isto.
Ainda lá tenho umas massas valentes…
Agora, nos CTT, inventaram que os detentores dos CA têm de actualizar os seus dados, seja de identificação, actividade profissional, etc. Caso contrário não conseguem fazer resgates. Foi-me dito hoje por uma funcionária de forma arrogante quando referi que a vontade das pessoas é tirar o dinheiro todo do IGCP dada toda esta situação escandalosa e muito suspeita. Já alguém veio a público dar uma satisfação?
“Caro Cliente
Estamos a melhorar as condições de segurança do serviço AforroNet.
Esperamos ser breves.
Todos os serviços associados às contas de aforro estão assegurados através da rede dos CTT.
As nossas desculpas pelo inconveniente causado.
IGCP, E.P.E”
Que satisfação mais é que querias que dessem?
O ministério das finanças enviou uma nota ao “JN”. Diz que não houve ataque informático:
https://www.jn.pt/3476900305/seguranca-das-contas-de-aforro-garantida-apos-bloqueio-do-site/
Em maio sugeri que eles substituíssem a autenticação e passassem a utilizar o Autenticação Gov tanto via cartão de cidadão, como chave móvel digital. Mas eles apesar de irem analisar a ideia, não aparentavam estar interessados em mudar.
Como já tinham o Número de Identificação Fiscal, fazia sentido utilizarem o Autenticação Gov do próprio Estado.
Finalmente já funciona. Mas está igual
Nem funcionou 24 horas. Já está em baixo
… autenticação esquisita, money out. resgatei tudo in loco em posto dos correios.