O Gabinete para a Protecção de Dados Pessoais deu início a uma investigação administrativa sobre as falhas de segurança do website das finanças. Por sua vez, a Direcção dos Serviços de Finanças está a optimizar o nível de segurança e privacidade do portal, garantido que as falhas detectadas não resultaram em qualquer fuga de informação ou ataque informático

O Gabinete para a Protecção de Dados Pessoais (GPDP) confirmou ontem que as falhas de segurança detectadas no website da Direcção dos Serviços de Finanças (DSF) motivaram a abertura de uma investigação administrativa sobre o caso.

Contactado pelo HM, o GPDP remeteu para o futuro mais informações sobre uma eventual tomada de posição ou a possibilidade de os dados pessoais dos utilizadores do website da DSF estarem em perigo, sobretudo, nas páginas do website que apresentam formulários para preencher.

Tal como o HM avançou na passada quinta-feira, o website da DSF apresenta falhas de segurança ao nível da encriptação, que pode colocar em perigo as informações submetidas pelos utilizadores. Segundo um especialista em cibersegurança, que pediu para não ser identificado, a questão está relacionada com o facto de o website da DSF não apresentar qualquer certificado de encriptação (SSL), permitindo eventualmente que um pirata informático possa interceptar informações durante a transmissão de dados entre o navegador (browser) e o local (servidor) onde o portal está alojado.

Reagindo a um pedido de esclarecimento sobre o caso, a DSF admitiu a existência de fragilidades no sistema de encriptação do website e que, após tomar conhecimento da situação, começou a implementar melhorias ao nível da segurança.

“A Direcção dos Serviços de Finanças está a desenrolar o trabalho de optimização do respectivo sistema, no sentido de elevar o grau de segurança e de confidencialidade da página electrónica”, pode ler-se na resposta enviada ao HM.

Sobre a possibilidade de as falhas de segurança terem estado na origem, de eventuais ataques informáticos ou furto de dados dirigidos aos utilizadores, a DSF avançou que, após análise, não foi detectada qualquer ocorrência.

“Após consulta do V/Jornal, a Direcção dos Serviços de Finanças procedeu, de imediato, à verificação plena da segurança e da confidencialidade do sistema da página electrónica, não tendo detectado qualquer fuga de informações, nem invasão de hackers”, apontou o organismo.

Segurança reforçada

Outro portal que levantou dúvidas ao nível da segurança por não conter qualquer tipo de certificado de encriptação (SSL) foi o website da Cinemateca Paixão, sobretudo porque permite adquirir bilhetes online.

Contactada pelo HM, Jenny Ip, gestora de operações da Cinemateca, garante que, após o caso ter vindo a público, foi desde logo reforçado o nível de segurança do website.

“Dada a preocupação gerada contactámos (…) tomámos acções imediatas com o objectivo de reforçar o nível de encriptação do nosso website. Agora, ao aceder ao website da Cinemateca Paixão, os utilizadores serão reencaminhados automaticamente para uma encriptação ‘HTTPS’ [em vez de HTTP]. Esperamos que com esta medida possamos recuperar a confiança dos utilizadores, pois todos os dados estiveram sempre seguros”, explicou a responsável.

Sublinhando que “qualquer especulação sobre o perigo de exposição de dados pessoais no website não tem fundamento”, a gestora referiu ainda que o website da Cinemateca Paixão nunca colocou em perigo os dados dos utilizadores, pois toda a informação está alojada, desde o início, num servidor da Alibaba Cloud, “totalmente encriptado”.

“O nosso sistema, que inclui o website e o sistema de bilheteira online, estão alojados no servidor da Ali cloud. Isto faz com que todos os dados, incluindo a informação do website e dados pessoais recolhidos através da bilheteira online sejam carregados no servidor do Ali Cloud que é totalmente encriptado”, afirmou Jenny Ip.