O site AforroNet tem enfrentado problemas após uma falha na mudança de passwords dos utilizadores, segundo a Iniciativa CpC: Cidadãos pela Cibersegurança. A crescente popularidade dos Certificados de Aforro pode estar a atrair a atenção de cibercriminosos para a plataforma online do Instituto de Gestão de Tesouraria e do Crédito Público (IGCP), destinada à gestão de investimentos, considera a CpC.
Até há pouco tempo, o AforroNet apresentava uma vulnerabilidade devido a um processo de autenticação demasiado simples, que se baseava numa senha de seis dígitos, um nome de utilizador e parte do número de contribuinte (NIF).
A combinação básica tornava as contas potencialmente suscetíveis a ataques de força bruta, em que os hackers tentam adivinhar as senhas usando várias combinações, explica a CpC. Além disso, a utilização do NIF como credencial aumentava o risco de invasões, especialmente após incidentes de exfiltração de dados, como o ataque à TAP.
Para mitigar os riscos, o IGCP deveria ter implementado medidas de segurança mais robustas, como a autenticação de dois fatores e o uso de captchas, que poderiam dificultar ataques automatizados e proteger melhor os investimentos dos utilizadores, sugere a CpC.
Já este agosto, o IGPC apostou na melhoria do sistema de autenticação da plataforma, substituindo o obsoleto PIN numérico por senhas mais complexas. No entanto, o processo foi problemático: muitos utilizadores bloquearam suas contas ao tentar atualizar a senha, especialmente ao usar gestores de passwords.
As novas senhas deveriam ter entre oito a 12 caracteres, com requisitos específicos, mas a utilização de certos caracteres resultava no bloqueio imediato da conta. A situação foi agravada pelo facto de que só era possível tentar mudar a password uma vez por dia, além de que o link de recuperação expirava em cinco minutos.
Essas falhas terão levado ao “desligamento” do site do IGPC, sugerindo possíveis problemas graves, como a mistura de sessões de utilizadores, supõe a CpC. Além disso, a ausência de autenticação de dois fatores poderá ter levantado questões sobre a segurança da nova implementação e a conformidade com o RGPD, especialmente quanto ao armazenamento de passwords.
Pergunta do Dia
Em destaque
-
Multimédia
Há buracos nas rodas do rover Curiosity que anda por Marte mas a NASA tem tudo controlado -
App do dia
Monster Hunter Puzzles está cheio de monstros e personagens para colecionar -
Site do dia
Free the voices: banco de vozes sintéticas diversificadas ganha nova protagonista -
How to TEK
Browser Edge protegido com VPN de rede e navegação em conjunto no Workspaces. Saiba como ativar
Comentários