[ Director: Mário Frota [ Coordenador Editorial: José Carlos Fernandes Pereira [ Fundado em 30-11-1999 [ Edição III [ Ano X

sexta-feira, 28 de abril de 2017

Centena e meia de domínios de email de organismos públicos com falha de segurança

 
 
 
 
por: Pedro Esteves 
 
 
 
27.Abril.2017
 
 
Foi detectada uma falha de segurança nos serviços de email do Estado. 
Hackers podem fazer-se passar pelo primeiro-ministro ou pelo fisco. 
O aviso foi feito há 149 dias mas a situação mantém-se.
Quase 150 serviços de email de domínios gov.pt estão vulneráveis. Piratas informáticos podem fazer-se passar por entidades como o primeiro-ministro, o fisco ou agentes da diplomacia portuguesa, revelou esta quinta-feira João Pina, um especialista em segurança informática. O problema já foi denunciado em novembro do ano passado aos responsáveis pela rede do Governo e está relacionado com falhas nas configurações dos serviços. O responsável pelo Centro Nacional de Cibersegurança, Pedro Veiga, reconheceu a existência das vulnerabilidades ao Observador, e diz que tentou resolver o problema, mas só a Segurança Social e o Ministério da Economia terão corrigido as falhas no sistema. A cronologia e os detalhes deste processo podem ser consultados nesta página.

João Pina demonstrou ao Observador a facilidade com que alguém se pode fazer passar por uma pessoa ou organismo estatal, nomeadamente pelo primeiro-ministro, através da criação do email antonio.costa@gov.pt. Mas o mesmo é possível fazer em relação à Autoridade Tributária, aos ministérios das Finanças ou Negócios Estrangeiros, entre outros organismos governamentais e do Estado. Este especialista detetou uma falha que permite que piratas informáticos possam usar endereços falsos de todas estas entidades, que não são detetados pelos sistemas de verificação dos serviços de email tais como o Gmail ou Outlook.

Para que fique claro: esta vulnerabilidade não permite qualquer tipo de acesso ao correio eletrónico das entidades visadas, mas sim a criação de endereços falsos, em tudo idênticos aos oficiais.

Ao não serem identificados e redirecionados para o spam (correio não solicitado), as mensagens destes falsos remetentes podem ser interpretadas como válidas e levar alguns utilizadores a ceder dados pessoais ou a fazer pagamentos indevidos, num esquema conhecido por ataque de phishing. João Pina afirma ter razões para acreditar que este esquema já foi usado por “piratas informáticos”, contudo, o Coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, nega conhecer qualquer caso.
(...)

Sem comentários: