As vulnerabilidades podem ser dos mais diversos tipos. Quando se detetam é fundamental agir de imediato para que os serviços não sejam “explorados”. Será a página de acesso aos certificados de aforro (AforroNet) vulnerável a ciberataques por usar um mecanismo de autenticação considerado fraco?
O AforroNet é um serviço que o IGCP coloca à disposição dos seus Clientes para efetuarem pedidos de Subscrição de produtos de Aforro em comercialização e de Resgate de Certificados do Tesouro e de Certificados de Aforro da Série E, e Consultas à sua carteira.
Para Bruno Castro, CEO da VisionWare, a autenticação com seis dígitos e utilização de NIF para acesso ao AforroNet são passos demasiado simples para proteger os utilizadores do portal. O especialista refere que a página está completamente vulnerável a ataques de “brute force”.
Por outro lado, fonte oficial do IGCP garante que “o Aforronet beneficia de vários mecanismos de segurança. A arquitetura de acesso ao AforroNet bloqueia as contas em caso de tentativas de acesso múltiplas. A atividade de acesso às contas aforro é rastreada e monitorizada, sendo espoletados protocolos de ação quando a atividade de acesso é considerada anormal. São ainda promovidos testes e atualizações regulares ao sistema de informação.”
Apesar do número de tentativas estar limitado (depois só é possível desbloquear após receberem carta com código), Bruno Castro refere que o tipo de autenticação é completamente rudimentar e não era suposto vermos isso nos dias de hoje em sites do Estado.
Leia também…