O site AforroNet tem enfrentado problemas após uma falha na mudança de passwords dos utilizadores, segundo a Iniciativa CpC: Cidadãos pela Cibersegurança. A crescente popularidade dos Certificados de Aforro pode estar a atrair a atenção de cibercriminosos para a plataforma online do Instituto de Gestão de Tesouraria e do Crédito Público (IGCP), destinada à gestão de investimentos, considera a CpC.

Até há pouco tempo, o AforroNet apresentava uma vulnerabilidade devido a um processo de autenticação demasiado simples, que se baseava numa senha de seis dígitos, um nome de utilizador e parte do número de contribuinte (NIF).

A combinação básica tornava as contas potencialmente suscetíveis a ataques de força bruta, em que os hackers tentam adivinhar as senhas usando várias combinações, explica a CpC. Além disso, a utilização do NIF como credencial aumentava o risco de invasões, especialmente após incidentes de exfiltração de dados, como o ataque à TAP.

Site AforroNet em baixo
Site AforroNet em baixo créditos: CpC: Cidadãos pela Cibersegurança

Para mitigar os riscos, o IGCP deveria ter implementado medidas de segurança mais robustas, como a autenticação de dois fatores e o uso de captchas, que poderiam dificultar ataques automatizados e proteger melhor os investimentos dos utilizadores, sugere a CpC.

Já este agosto, o IGPC apostou na melhoria do sistema de autenticação da plataforma, substituindo o obsoleto PIN numérico por senhas mais complexas. No entanto, o processo foi problemático: muitos utilizadores bloquearam suas contas ao tentar atualizar a senha, especialmente ao usar gestores de passwords.

As novas senhas deveriam ter entre oito a 12 caracteres, com requisitos específicos, mas a utilização de certos caracteres resultava no bloqueio imediato da conta. A situação foi agravada pelo facto de que só era possível tentar mudar a password uma vez por dia, além de que o link de recuperação expirava em cinco minutos.

Essas falhas terão levado ao “desligamento” do site do IGPC, sugerindo possíveis problemas graves, como a mistura de sessões de utilizadores, supõe a CpC. Além disso, a ausência de autenticação de dois fatores poderá ter levantado questões sobre a segurança da nova implementação e a conformidade com o RGPD, especialmente quanto ao armazenamento de passwords.