Manchete SociedadeCibersegurança | Falhas no portal das finanças podem expor dados pessoais Pedro Arede - 14 Out 2020 O website da Direcção dos Serviços de Finanças apresenta páginas com formulários a preencher com dados pessoais, que são vulneráveis a ataques informáticos. O perigo foi confirmado ao HM por um especialista em cibersegurança. A implementação da governação electrónica é uma das prioridades da acção governativa do Governo [dropcap]O[/dropcap] website da Direcção dos Serviços de Finanças (DSF) apresenta falhas de segurança ao nível de encriptação que podem colocar em risco as informações submetidas pelos utilizadores. A confirmação foi feita ontem por um especialista em cibersegurança contactado pelo HM que apontou existir perigo iminente para os dados pessoais dos utilizadores, sobretudo, nas páginas do website que apresentam formulários para preencher. Segundo o especialista, que pediu para não ser identificado, a questão está relacionada com o facto de o website da DSF não apresentar qualquer certificado de encriptação (SSL), permitindo eventualmente que um pirata informático possa interceptar informações durante a transmissão de dados entre o navegador (browser) e o local (servidor) onde o portal está alojado. “Se há um formulário no site que pede o número do BIR, o nome ou a morada isso pode representar perigo [para os utilizadores], pois se o site não tem nenhum tipo de certificado de encriptação entre o browser e o servidor, um hacker pode estar ali no meio a captar esses dados”, explicou. Fazendo a experiência utilizando o browser “Google Chrome”, ao entrar no website da DSF, para além de surgir de imediato a mensagem “Not Secure” no canto superior esquerdo ao longo de toda a utilização do website, existem inúmeras páginas onde são pedidos dados pessoais aos utilizadores para aceder a determinados serviços e que não cumprem o referido requisito de segurança. Exemplo disso é a página dedicada ao “Programa de Devolução do Imposto Profissional”, onde, para consultar informações relacionadas com o assunto, os utilizadores devem inserir o número completo do BIR. “A consulta do ‘Programa de Devolução do Imposto Profissional’ é exactamente um desses casos. É exactamente aqui, onde encontramos um formulário e a página não está encriptada, que a transmissão do número do BIR está exposta. Por isso, este site não está seguro. Esta transmissão dos números de BIR quando é submetida ao servidor através do browser pode ser captada”, referiu o especialista ao HM. Além desta, outras páginas que permitem aceder às áreas de “Gestão de Finanças Públicas”, “Gestão Patrimonial” e “Marcação de Escritura” estão também expostas da mesma forma, pedindo o nome de utilizador e palavra-passe. Também as páginas “Consulta da Notificação da Fixação de Rendimento” (número de contribuinte), “Consulta do imposto pago dos veículos motorizados que foram danificados na passagem do Tufão Hato” (número de matrícula) e “Opinião/Denúncia” não se encontram encriptadas, com o formulário da última a incluir campos como “Nome”, “Telefone” e “E-Mail”. O HM tentou obter esclarecimentos sobre as falhas de segurança junto da DSF e do Gabinete para a Protecção de Dados Pessoais (GPDP) mas não obteve resposta. Dúvidas na Cinemateca Segundo foi reportado ontem pelo All About Macau, também o portal da Cinemateca Paixão levantou dúvidas ao nível da segurança, sobretudo porque permite adquirir bilhetes online. No entanto, segundo o especialista em cibersegurança, aqui o caso é outro já que se trata de um website maioritariamente informativo e, no momento de comprar os bilhetes, a operação é encaminhada para o sistema do serviço de pagamentos MPay. “Simplesmente falta um certificado do site que podia ser instalado em cinco minutos. Não significa que o site seja completamente inseguro, apenas que a comunicação entre o browser e o servidor não está (…) encriptado. Na parte de comprar os bilhetes, o site já é seguro porque o MPay não usa uma página não segura no momento do checkout”, vincou. Além da Cinemateca, o HM verificou também que outros websites maioritariamente informativos afectos ao Governo como o do Instituto de Acção Social (IAS), Direcção de Inspecção e Coordenação de Jogos (DICJ), Direcção dos Serviços de Identificação (DSI) e Direcção dos Serviços de Educação e Juventude (DSEJ) também apresentam falhas ao nível da encriptação. Recorde-se ainda que em Agosto, o secretário para a Administração e Justiça, André Cheong, salientou que a implementação da governação electrónica é uma das prioridades da acção governativa do Governo e que o Chefe do Executivo, tem vindo a lembrar ao longo do tempo a necessidade de reforçar a partilha de dados entre os serviços públicos.
