Agência para a Modernização Administrativa “protege” documentos com password 12345

Se existem coisas que sabemos que ainda acontecem em pleno 2021 é a falta de segurança no Governo e nos seus organismos. Mas nunca pensámos, antes de fazer esta notícia, que a AMA – Agência para a Modernização Administrativa, I.P., conseguisse ser tão “moderna” ao ponto de permitir que isto possa acontecer.

Em causa está a criação de uma página web onde colocam um link para uma plataforma cloud. Esses ficheiros encontram-se disponíveis para download mas protegido por uma password. E a password está colocada no texto onde está o link.

A password é precisamente aquilo que vai certamente espantar todas as pessoas que querem minimamente perceber de segurança informática… pois trata-se de “12345”.

Password 12345 – será segura?

Já em 2015 dizia o Google que “se a tua password é 12345, não estás sozinho”, num vídeo onde incentivava as pessoas a alterarem esta password.

Já na Wikipedia encontramos esta como a 9ª password mais utilizada, se bem que a primeira é um pouco mais difícil pois tem um “6” no fim, ou seja, 123456.

Dai podemos entender o quão segura é a segurança do estado.

Onde está esta password?

A password está num texto público que está publicado na página https://www.autenticacao.gov.pt/web/guest/servi%C3%A7o-de-assinatura-de-faturas-eletr%C3%B3nicas-safe-. Esta página mostra a forma de assinar faturas eletrónicas com o Serviço de Assinatura de Faturas Eletrónicas (SAFE), sistema este que é “certificada pelo Estado Português”.

Na referida página podemos encontrar o link “Consulte aqui a documentação técnica para integração com o SAFE” e depois logo no final da frase a informação “(password: 12345)”.

Dentro do ficheiro encontramos várias informações que, algumas até podem ser públicas, mas certamente que o documento SAFE-SignatureService.json que permite assinar PDFs nos softwares de faturação antes de os enviar para os clientes poderá não ser.
Mas se fosse tudo publico, porquê proteger os ficheiros com password?
E se são protegidos, porque não utilizar uma password mais “forte”?

Recorde-se que a assinatura qualificada, razão pelo qual são disponibilizados estes documentos, é obrigatória para softwares de faturação a partir de 30 de julho de 2021. Mas, a obrigatoriedade de proteger informação não parece ser, mesmo num sistema que é, referimos novamente, certificado pelo Estado Português.

O Serviço de Assinatura de Faturas Eletrónicas (SAFE) vem dar resposta e cumpre os requisitos impostos pelo DL 28/2019 de 15 de fevereiro e Regulamento UE n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014. Por isso tinham 5 anos para se preparar melhor do que “12345”.

Pretendes enviar uma denúncia?
Preenche este formulário totalmente anónimo.