O site AforroNet tem enfrentado problemas após uma falha na mudança de passwords dos utilizadores, segundo a Iniciativa CpC: Cidadãos pela Cibersegurança. A crescente popularidade dos Certificados de Aforro pode estar a atrair a atenção de cibercriminosos para a plataforma online do Instituto de Gestão de Tesouraria e do Crédito Público (IGCP), destinada à gestão de investimentos, considera a CpC.
Até há pouco tempo, o AforroNet apresentava uma vulnerabilidade devido a um processo de autenticação demasiado simples, que se baseava numa senha de seis dígitos, um nome de utilizador e parte do número de contribuinte (NIF).
A combinação básica tornava as contas potencialmente suscetíveis a ataques de força bruta, em que os hackers tentam adivinhar as senhas usando várias combinações, explica a CpC. Além disso, a utilização do NIF como credencial aumentava o risco de invasões, especialmente após incidentes de exfiltração de dados, como o ataque à TAP.
Para mitigar os riscos, o IGCP deveria ter implementado medidas de segurança mais robustas, como a autenticação de dois fatores e o uso de captchas, que poderiam dificultar ataques automatizados e proteger melhor os investimentos dos utilizadores, sugere a CpC.
Já este agosto, o IGPC apostou na melhoria do sistema de autenticação da plataforma, substituindo o obsoleto PIN numérico por senhas mais complexas. No entanto, o processo foi problemático: muitos utilizadores bloquearam suas contas ao tentar atualizar a senha, especialmente ao usar gestores de passwords.
As novas senhas deveriam ter entre oito a 12 caracteres, com requisitos específicos, mas a utilização de certos caracteres resultava no bloqueio imediato da conta. A situação foi agravada pelo facto de que só era possível tentar mudar a password uma vez por dia, além de que o link de recuperação expirava em cinco minutos.
Essas falhas terão levado ao “desligamento” do site do IGPC, sugerindo possíveis problemas graves, como a mistura de sessões de utilizadores, supõe a CpC. Além disso, a ausência de autenticação de dois fatores poderá ter levantado questões sobre a segurança da nova implementação e a conformidade com o RGPD, especialmente quanto ao armazenamento de passwords.
Pergunta do Dia
Em destaque
-
Multimédia
Câmara Osmo Action 5 Pro da DJI tem novo sensor, mais autonomia e ecrãs maiores -
App do dia
Hidden Through Time 2: Myths & Magic desafia a encontrar objetos escondidos -
Site do dia
Como melhorar a proteção de menores online? Comissão Europeia quer ideias -
How to TEK
Descubra mais informação sobre uma imagem através do Google Lens
Comentários