Mais de dois mil dados de elementos da Direção Regional de Agricultura e Pescas do Norte (DRAPN) estão outra vez acessíveis após uma publicação feita pelo grupo português de piratas informáticos Hackers Street. Os dados terão sido conseguidos durante um ataque à página oficial do organismo que faz parte do Ministério da Agricultura.



Contactado pelo TeK, o DRAPN explica que o ataque não é de agora, tendo acontecido em agosto de 2014. Na altura foi inclusive foi feita a participação do crime à Polícia Judiciária, mas o responsável pela área informática da direção regional diz que até hoje não existiram novos desenvolvimentos.



Certo é que os dados estão novamente online e incluem nomes, emails e até passwords codificadas com a cifra MD5. O especialista em segurança informática David Sopas explica que mesmo cifradas, as palavras-passe “ podem ser quebradas utilizando as dezenas de base de dados online que quebram as passwords MD5 e mostram o resultado - dependendo da complexidade, algumas podem demorar alguns segundos”.



O responsável pelo departamento de informática da DRAPN desvaloriza os dados que estão online, considerando apenas como críticos os números de identificação fiscal (NIF) e as datas de nascimento. Grave pode ser o facto de as passwords definidas em ambiente de trabalho serem iguais às de utilização pessoal, mas aí a responsabilidade recai sobre cada pessoa de forma individual, garante o elemento da Direção Regional.



Numa análise mais ampla, as palavras-passe não são motivo de alarme garante o informático do organismo público, já que as mesmas só servem para aceder a aplicações internas. Isto é, mesmo que um cracker conseguisse decifrar as passwords, as mesmas não teriam qualquer utilidade quando usadas de fora da DRPAN.



Apesar de não ser um dos sites de maior perfil do Governo e da Administração Pública, o especialista David Sopas considera que a exigência ao nível de segurança devia ser maior. “Qualquer domínio ou sub-domínio do Governo deveria ter uma segurança mais apertada. Cada vez mais existem conhecidos casos de espionagem entre governos e qualquer tipo de informação poderá ser útil neste contexto. Por vezes, basta um acesso a um email governamental para invadir uma organização”, disse em resposta a algumas questões colocadas pelo TeK.



Os piratas informáticos executaram um ataque de SQL Injection para conseguir os dados. “O ataque é efetuado com sucesso quando o 'atacante' consegue injetar instruções SQL dentro de uma consulta à base de dados, manipulando assim o seu resultado”, detalha David Sopas.



Já do lado do DRAPN fica a confirmação de que a falha de segurança foi sanada logo após o seu o conhecimento, em meados do ano passado.

Rui da Rocha Ferreira


Escrito ao abrigo do novo Acordo Ortográfico

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Notificações

Subscreva as notificações SAPO Tek e receba a informações de tecnologia.

Na sua rede favorita

Siga-nos na sua rede favorita.