Cuidado: o site da CGD é inseguro

Site da Caixa Geral de Depósitos, conhecido como “o banco do Estado”, é inseguro. A culpa é da fraca gestão de segurança de um dos maiores bancos nacionais.

Quando entrávamos no site da CGD até ontem víamos uma informação de que “[e]ste site utiliza cookies para lhe proporcionar uma melhor experiência de navegação”.
A “melhor experiência“ desde ontem que passou a ser uma bastante pior experiência desde que saiu a última versão (estável) do Chrome e já acontecia no Chrome Canary há algumas semanas. No entanto, nem todas as pessoas atualizaram ainda para a última versão do browser da Google. O certificado de segurança da Caixa Geral de Depósitos para o site que efetua operações bancárias não consegue cumprir as mais básicas normas de segurança informática. Por isso, o Google Chrome, na sua última versão que saiu no dia 24 de Julho de 2018, classificou o site da CGD como inseguro. A situação era, obviamente, evitável.

Um erro, relacionado com a transparência do certificado. Impede o site de carregar corretamente, conforme imagem abaixo:

Este erro poderá não ser diretamente do certificado, podendo faltar no servidor web a configuração “SSLUseStapling on”.

Impossível contactar Caixa Direta para comentários

O Tugaleaks tentou contactar a CGD no entanto a sua página de contactos (nota: se usas a última versão do Chrome, o site pode não abrir) não mostra um número geral da sede. Contactada a única linha disponível, a CaixaDireta, o operador contactado não soube indicar o número da sede da empresa para a qual trabalha nem os contactos para jornalistas, normalmente assessores de imprensa.

Foi ainda tentados contactos para os e-mails que constam do Whois do domínio, publicamente disponíveis, embora não tenham sido obtidas respostas.

Como é que isto aconteceu?

Esta era uma medida anunciada para 2017 e que teve efeitos apenas neste mês. No entanto não foi por falta de aviso que a situação aconteceu.
A CGD devia ter corrigido ou alterado o seu certificado para poder continuar válido após as alterações do Chrome, pois esta é uma boa e normal prática de segurança.
Já em Abril era suposto terem sido bloqueados certificados sem este selo de transparência, mas a decisão ficou adiada para Julho.

Importa relembrar que o certificado que a CGD utiliza é pago, isto é, pago por todos os contribuintes. E existem alternativas grátis que conseguem evitar, por serem mais “confiáveis”, estes problemas. Para mais informações técnicas, por favor visita este link.

Resta saber quanto tempo a CGD vai permitir que os seus clientes efetuem transações bancárias inseguras. Tentámos obter este esclarecimento, mas não obtivemos resposta.

Para atualizares o teu Google Chrome e verificares se tens atualizações pendentes, vai ao Menu > Ajuda > Acerta do Google Chrome.

Tens problemas com bancos que merecem aparecer aqui?
Envia uma denúncia ao Tugaleaks.

Foto: DECO

Sobre Rui Cruz

Sou um geek com 36 anos, trabalho há mais de meia vida na Internet. Atualmente sou administrador de sistemas na área de webhosting e uma empresa na área da saúde na área da segurança informática. Sou um grande defensor dos direitos digitais.

Cuidado: o site da CGD é inseguro

Impossível contactar Caixa Direta para comentários

Como é que isto aconteceu?

Partolha esta notícia!

Sobre Rui Cruz

Artigos relacionados

Quando todos estávamos em casa por causa do COVID, BdP gastou 518 mil euros em carros

Cibersegurança: o que faz com que seja seguro jogar poker online?

Entenda a ciência por trás da tendência popular diamantes de memorial no Brasil

Quem vê caras também vê corações: a importância do packaging

Privacy settings

With the slider, you can enable or disable different types of cookies:

This website will:

This website won't:

This website will:

This website won't:

This website will:

This website won't:

This website will:

This website won't: