Falha grave no envio de e-mails pelo Portal das Finanças permite a captura de mensagens de e-mail. Contactado pelo Tugaleaks, o Governo não comentou a situação.

Quase todas as pessoas registadas no Portal das Finanças, incluindo os emissores dos recibos verdes electrónicos, já receberam e-mails da AT (Autoridade Tributária). E uma leitura mais atenta mostra que estes e-mails se encontram com uma grave falha de segurança.

A falha, com vários meses, foi descoberta pelo Tugaleaks. Com menos de 30EUR, qualquer pessoa que pretenda fazer-se passar pelo Portal das Finanças pode facilmente faze-lo, com a ajuda do próprio Portal das Finanças, interceptando comunicações electrónicas via e-mail e podendo até fazer-se passar pela AT sem grandes dificuldades.

 

mailhacking

 

Todos os e-mails enviados pelo Portal das Finanças têm um campo “Reply To“. Esse campo está preenchido com um e-mail no-Reply-To@no-Reply-To.pt. Por sua vez, o domínio no-reply-to.pt não se encontra registado.

1940245_722761251089686_1443957757_n

 

É possível a qualquer pessoa mal intencionada, registar o domínio no-reply-to.pt e passar a receber toda a correspondência que os utilizadores “responderem” através dos e-mails que Portal das Finanças envia.

O header do e-mail mostra também o uso deste endereço de e-mail num e-mail enviado no final da semana passada:

 Received: from (unknown [10.191.127.11]) by mx2.at.gov.pt with smtp
 id 59df_b2e3_a704f4f6_9642_11e3_9b21_b8ac6f140c53;
 Sat, 15 Feb 2014 13:xx:xx +0000
 Received: from suapps101 ([10.191.10.214]) by swlexfe01.ritta.local with Microsoft SMTPSVC(6.0.3790.4675);
 Sat, 15 Feb 2014 13:37:38 +0000
 Message-ID: <15220620.1392471458238.JavaMail.weblogic@10.191.127.10>
 Date: Sat, 15 Feb 2014 13:xx:xx +0000 (WET)
 From: =?ISO-8859-1?Q?Portal_das_Finan=E7as?= <info@at.gov.pt>
 Reply-To: =?ISO-8859-1?Q?N=E3o_respoder_a_este_email?= <no-Reply-To@no-Reply-To.pt>
 To: xxxx@xxxx.com
 Subject: =?ISO-8859-1?Q?Confirma=E7=E3o/Fiabiliza=E7=E3o_de_Contactos?=

 

Na prática, quem responder a estes e-mails, pode estar a divulgar dados confidenciais a terceiros devido à falta de responsabilidade no envio dos e-mails por parte do Portal das Finanças.

 

Embora os e-mails enviados contenham a mensagem “Por favor não responda para esta caixa de correio electrónico destinada exclusivamente ao envio de mensagens informativas”, é certo que muitas das pessoas ignoram este aviso.

“As pessoas têm ali um e-mail de uma empresa e é ali que se queixam com problemas, venha ou não uma indicação para não responderem aos e-mails”, conta-mos um responsável de uma loja online em Portugal.

Já Ricardo Oliveira, consultor em Segurança Informática, afirmou ao Tugaleaks que “isto será resultado de uma configuração errada e insignificante (do ponto de vista técnico), mas que poderá ter um impacto significativo em termos de segurança da informação”.

 

O Tugaleaks contactou o Ministério de Estado e das Finanças que até ao momento não comentou esta falha de segurança.

Ver
Esconder