Falha grave no envio de e-mails pelo Portal das Finanças permite a captura de mensagens de e-mail. Contactado pelo Tugaleaks, o Governo não comentou a situação.
Quase todas as pessoas registadas no Portal das Finanças, incluindo os emissores dos recibos verdes electrónicos, já receberam e-mails da AT (Autoridade Tributária). E uma leitura mais atenta mostra que estes e-mails se encontram com uma grave falha de segurança.
A falha, com vários meses, foi descoberta pelo Tugaleaks. Com menos de 30EUR, qualquer pessoa que pretenda fazer-se passar pelo Portal das Finanças pode facilmente faze-lo, com a ajuda do próprio Portal das Finanças, interceptando comunicações electrónicas via e-mail e podendo até fazer-se passar pela AT sem grandes dificuldades.
Todos os e-mails enviados pelo Portal das Finanças têm um campo “Reply To“. Esse campo está preenchido com um e-mail [email protected]. Por sua vez, o domínio no-reply-to.pt não se encontra registado.
É possível a qualquer pessoa mal intencionada, registar o domínio no-reply-to.pt e passar a receber toda a correspondência que os utilizadores “responderem” através dos e-mails que Portal das Finanças envia.
O header do e-mail mostra também o uso deste endereço de e-mail num e-mail enviado no final da semana passada:
Received: from (unknown [10.191.127.11]) by mx2.at.gov.pt with smtp id 59df_b2e3_a704f4f6_9642_11e3_9b21_b8ac6f140c53; Sat, 15 Feb 2014 13:xx:xx +0000 Received: from suapps101 ([10.191.10.214]) by swlexfe01.ritta.local with Microsoft SMTPSVC(6.0.3790.4675); Sat, 15 Feb 2014 13:37:38 +0000 Message-ID: <[email protected]> Date: Sat, 15 Feb 2014 13:xx:xx +0000 (WET) From: =?ISO-8859-1?Q?Portal_das_Finan=E7as?= <[email protected]> Reply-To: =?ISO-8859-1?Q?N=E3o_respoder_a_este_email?= <[email protected]> To: [email protected] Subject: =?ISO-8859-1?Q?Confirma=E7=E3o/Fiabiliza=E7=E3o_de_Contactos?=
Na prática, quem responder a estes e-mails, pode estar a divulgar dados confidenciais a terceiros devido à falta de responsabilidade no envio dos e-mails por parte do Portal das Finanças.
Embora os e-mails enviados contenham a mensagem “Por favor não responda para esta caixa de correio electrónico destinada exclusivamente ao envio de mensagens informativas”, é certo que muitas das pessoas ignoram este aviso.
“As pessoas têm ali um e-mail de uma empresa e é ali que se queixam com problemas, venha ou não uma indicação para não responderem aos e-mails”, conta-mos um responsável de uma loja online em Portugal.
Já Ricardo Oliveira, consultor em Segurança Informática, afirmou ao Tugaleaks que “isto será resultado de uma configuração errada e insignificante (do ponto de vista técnico), mas que poderá ter um impacto significativo em termos de segurança da informação”.
O Tugaleaks contactou o Ministério de Estado e das Finanças que até ao momento não comentou esta falha de segurança.
