São várias as notícias, já confirmadas por fontes oficiais, dos graves problemas que existem no Portal das Matrículas criado pelo Ministério da Educação este ano.
Os órgãos de comunicação social mainstream citam simplesmente o governo, sem fazer uma análise crítica e despesista de toda a situação.
O Tugaleaks teve acesso ao contrato efetuado com uma consultora. Com um valor de mais de 348 mil euros, o portal foi criado desde abril. Um tempo recorde para o serviço que, afinal, não funciona.
Adjudicado por despacho da Subdiretora-Geral da Direção-Geral de Estatísticas da Educação e Ciência, este Portal foi adjudicado a 22-04-2020. Na adjudicação pode ler-se que “a execução do contrato deverá ser realizada até 31 de outubro de 2020”, sendo que as matrículas se iriam realizar antes.
O Portal que não funciona
Muitos foram os encarregados de educação que, ao longo dos últimos dias, postaram nas redes sociais a sua frustração por não conseguirem aceder ao referido portal. A lentidão, ou falta de uma comunicação lógica entre as páginas de navegação, foram as situações mais reportadas.
Algumas pessoas, em jeito de brincadeira disseram que os filhos se iriam matricular na escola “bad getaway” ou na “404 not found”.
A insegurança do Portal
Fonte oficial do Governo afirmou em comunicado que “registaram-se ataques informáticos de elevada complexidade, que estão a ser acompanhados pelo Centro Nacional de Cibersegurança, e que provocaram graves bloqueios no sistema”. Mas terá sido só isso?
E também manifestamente visível a falta de segurança daquilo portal, deixando desde já a análise aos supostos ataques informáticos invocados.
Como se pode verificar, pela imagem acima, qualquer pessoa pode apresentar esta página num iframe, podendo enganar utilizadores ou de alguma forma capturar informação. A classificação de segurança do SSL é por isso, praticamente nula, considerando ainda que existem outras falhas não discriminadas nesta notícia e passíveis de serem exploradas.
Outra coisa interessante do ponto de vista de análise forense jornalística, é verificar os Reverse DNS do site:
% host portaldasmatriculas.edu.gov.pt
portaldasmatriculas.edu.gov.pt has address 193.236.75.210
portaldasmatriculas.edu.gov.pt mail is handled by 10 rmail.rae.mec.pt.
portaldasmatriculas.edu.gov.pt mail is handled by 10 rmail1.rae.mec.pt.
O reverse DNS divulga múltiplos hostnames, o que é estranho. E também divulga “testes” e sites de acesso a potenciais administrações de bases da dados como “db-admin”.
% host 193.236.75.210
210.75.236.193.in-addr.arpa domain name pointer teste.dgeec.mec.pt.
210.75.236.193.in-addr.arpa domain name pointer monitor.min-educ.pt.
210.75.236.193.in-addr.arpa domain name pointer db-admin.min-educ.pt.
210.75.236.193.in-addr.arpa domain name pointer blog.min-educ.pt.
Por ultimo, o servidor utilizado neste site é nginx/1.18.0. Ora, esta versão foi classificada como insegura, tendo uma vulnerabilidade crítica sido publicamente divulgada.
O valor do contrato
O contrato está disponível no Portal Base, feito pela consultora LCG – CONSULTORIA, S.A. que já faturou 1.738.624,16 € apenas em ajustes diretos.
O preço do contrato para a criação do Portal das Matrículas foi de 348.356,00 €, valor esse que parece, de acordo com a informação pública, não incluir o alojamento do site.
Esse, está a cargo de um IP pertencente ao Governo, conforme pode ser consultado aqui. Pelo que, a julgar pela análise abstrata efetuada, a falha deve-se a grande parte à infraestrutura do Governo e não ao trabalho realizado pela consultora.
Tudo isto, para uma plataforma que coloca dados de crianças em cima da “mesa”, deve ter apreciação urgente das entidades competentes.
O Tugaleaks está em contacto com o Centro Nacional de Cibersegurança e procurará encontrar resposta à simples questão que se coloca depois de toda esta análise: como é que isto pode acontecer em pleno 2020?
Queres enviar uma denúncia?
Usa o nosso formulário de contacto anónimo.