PplWare Mobile

Certificados de Aforro: Página de acesso é vulnerável?

                                    
                                

Imagem: Pexels

Autor: Pplware


  1. antonio s says:

    A pagina é muito segura tem esse senão ,mas durmo descansado saber que ninguem consegue alterar a minha informação nem password tem esse senão poderem bloquear e depois recebo outra passord por correio.
    Nunca tive problemas como alguma banca que anda por aí que deixam alterar tudo online. e as pessoas tem perdido milhares.
    Ainda Bem

  2. João Cartaxo says:

    Mesmo que acedam não conseguem levantar o dinheiro…

  3. PeFerreira says:

    Rudimentar sem dúvida alguma. Ao menos implementavam um 2 factor authentication para quem quisesse.

  4. Tobias says:

    Ilustres a fazer comentarios.
    Devia instruir-se um pouco mais.
    Qualquer empresa que forneca acesso com login de cliente seja por nif ou outro qualquer deveria obrigatoriamente fornecer aos clientes certificado de utilizador e obrigatoriamente o requerer na ligacao validando os respectivos campos.
    Infelizmente como da trabalho e o que se tem.
    O teste e feito na validacao tls apos o tcp 3 way handshake.
    Portanto nao validando nem sequer chega a fase de pedido de login/passw.

    A bem dizer a maioria das instituicoes financeiras tem uma miseria de seguranca.
    Para alem de nada de requisitos destes nem sequer dnssec logo para comecar.

    • Not Tobias says:

      Caro Tobias. Certamente não tem experiência na área nem sabe do que está a falar. Faz ideia da infraestrutura e custo associado a manter esse tipo de autenticação? A dor que é utilizar, importar ce validar ertificados? Como vê a maior parte das pessoas comuns a conseguir fazer isso sozinhas?

      • Pedro says:

        Deve ter visto na net ou nalgum sítio e acha que encontrou a pólvora.

        Basta ver o que foi quando apareceram os cartões de cidadão e os leitores de cartões, o escabeche que era para leigos (e não so) conseguirem configurar os PC’s..,

  5. PC says:

    O modo de acesso à página não é alterado há mais de 10 anos, rudimentar é dizer pouco. Deviam permitir passwords complexas e 2FA. Portugal no seu melhor… Ao menos não conseguem levantar e aceder aos fundos em caso de ataque

  6. Repara says:

    O investigador diz que a página está vulnerável a ataques de “brute force”. O IGCP nega.
    Sei que o Username tem que ter letras minúsculas, maiúsculas e algarismos, e a Password 8 algarismos, a que acresce dois dígitos de do NIF (por ordem aleatória).
    Não fiquei convencido “que a página está completamente vulnerável a ataques de “brute force”.”

  7. David Guerreiro says:

    Aqui basicamente o que é possível fazer é bloquear contas, o que já de si é chato, e mesmo que entrem na conta, o máximo que dá para fazer é resgatar subscrições para o IBAN do titular. Só mesmo alguém por maldade, pois ninguém lucra nada a entrar no Aforronet de algum titular.

  8. Fulano says:

    Para além da falta de segurança parece uma página criada nos tempos do altavista. Um gajo com um monitor widescreen e a informação aparece num retângulo pequeno e letra minuscula.

  9. Repara says:

    Já agora, há poucos dias saiu uma notícia que:
    “Os Certificados de Aforro que não sejam reclamados pelos herdeiros ao fim de uma década passam para a posse do Estado. Entre 2012 e 2022, o montante que reverteu para o Fundo de Regularização da Dívida Pública soma já cerca de 50 milhões de euros, noticia o Público.
    Em 2012, o IGCP fez um protocolo com o Instituto dos Registos e Notariado (IRN) que lhe passou a permitir saber quando morrem os aforristas, por forma a poder contactar com eventuais herdeiros, refere ainda o Público.”

    • Repara says:

      O imposto sucessório acabou mas há imposto do selo (10%). Estão isentos de Imposto do selo o cônjuge ou unido de facto (desde 2009), os descendentes (filhos e netos) e os ascendentes (pais e avós). São os chamados herdeiros legitimatários. Outros familiares, como irmão ou primos, pagam.
      No caso de herdarem ou deixarem em herança sem ser herdeiros legitimários convém tratar do assunto antes do fenecimento.

  10. berlaitada says:

    É inseguro, assim como tudo o que é do governo. Um ataque de “brute force” com as “n” aplicações que vêm no Kali Linux (há mais sofisticados) consegue arrecadar informação em poucos minutos e depois é só descodificar se for o caso e analisar. Normalmente não é um cromo na cave dos pais com vários portáteis a correr os minutos iniciais do Matrix que vai fazer isso. Normalmente são grupos de hackers ativistas que nem se conhecem que incluem malta na cave dos pais, ok até aí têm razão e depois vendem essa informação a Altices e outros mercenários…

    • Repara says:

      E depois há os filmes, onde tudo pode acontecer 😉

      • berlaitada says:

        Nos filmes um país como o nosso já tinha sido feito refém de um vilão daqueles que quer vender uma arma que pode controlar um país na sua totalidade naqueles leilões clandestinos e usa Portugal como teste piloto.

  11. TiagoR says:

    É mais fácil as instituições financeiras anunciarem com popa e circunstância os majestosos lucros do que o anúncio aos investimentos em segurança e assim ganharem uma maior confiança por parte dos clientes. Se a banca fosse responsabilizada pelas fraudes aos clientes com certeza que investimento em segurança era de outra dimensão.

  12. António says:

    Se não podem levantar, que se vai dar ao trabalho? Só alguém estúpido!
    Porque o IBAN tem de conter o nome do beneficiário no banco, não pode alterar IBAN!
    Está polémica interessa aos bancos

  13. Joao Ptt says:

    Se ao menos pudessem usar a página da autenticação.gov deixando utilizar o cartão de cidadão (para quem tem leitor de cartões) e/ ou a chave móvel digital para acederem à página.

    De certeza que estou a dizer algo imensamente difícil de implementar… eh eh

  14. António says:

    Polémica mais idiota, mas já alguém conseguiu desviar dinheiro das contas?
    Acho que não, não importa método ser antigo!
    Cilos nucleares dos USA ainda usam sistema com 50 anos é o mais seguro

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.