“Incidente” inativa AforroNet e não há data para regresso
Um “incidente” obrigou a Agência de Gestão da Tesouraria e da Dívida Pública (IGCP) a suspender a plataforma AforroNet, disponibilizada aos investidores para consulta e gestão de certificados de aforro. O site está inativo desde a passada sexta-feira e ainda não há data prevista para a sua reativação. O Ministério das Finanças, que tutela o IGCP, garante ao DN/Dinheiro Vivo que “a intervenção na plataforma AforroNet deverá estar concluída brevemente”. Os especialistas em cibersegurança divergem sobre o que terá acontecido.
“Foi identificado um incidente, que não resultou de um ataque informático”, garantiu fonte oficial do Ministério das Finanças, explicando que o caso, todavia, “justificou a decisão de suspender temporariamente a plataforma AforroNet para uma intervenção de melhoria”.
Para Bruno Castro, fundador e presidente executivo da Visionware, empresa especialista em segurança da informação e em análise forense de crimes informáticos, “afirmar que não foi um ciberataque é incoerente”. O especialista explica que o acesso indevido a dados pessoais “é sinónimo de incidente de segurança” e que “é obrigatório comunicá-lo à autoridade de controlo, e até, provavelmente, pode ser obrigatório comunicá-lo também aos titulares dos dados que sofreram a violação”. A indisponibilidade do serviço, adianta Bruno Castro, também “faz parte” dos procedimentos subsequentes ao incidente.
Segundo noticiou ontem o Expresso, o IGCP detetou um único caso de “acesso indevido” a dados pessoais e a ocorrência foi reportada à Comissão Nacional de Proteção de Dados (CNPD). “A partir do momento em que há comunicação à CNPD, houve um incidente. E para ter o site indisponível tantos dias é claramente grave”, refere o CEO da Visionware. O especialista diz que há dois cenários que podem explicar a inatividade do AforroNet: ou “ainda estão a tentar perceber o que aconteceu” ou “já concluíram a investigação forense e estão a ser corrigidas as falhas que a plataforma tinha, o que pode indiciar que algo grave aconteceu”.
“Geralmente, quando há um ciberataque o que demora mais tempo não são questões de cariz tecnológico, mas sim concluir a investigação forense. Só depois é que se pode corrigir as causas que permitiram o acesso indevido e, posteriormente, repor os serviços.
Já Ricardo Neves, marketing manager da WhiteHat e da ESET, empresas especializadas em soluções de cibersegurança e proteção antivírus, faz uma análise mais otimista. “Quero crer que não é algo tão grave como se pode pensar”, afirma, notando que na origem podem estar “múltiplas possibilidades”, desde uma falha do sistema motivada por um software desatualizado, ou caso de “phishing ou engenharia social”, que permitiu um acesso não autorizado por terceiros. Admite ainda a hipótese de ter surgido “um bug aplicacional, o que pode excluir algo relacionado com a cibersegurança, e que permitiu a um utilizador ter privilégios que não deveria ter ou acessos que não deveria ter”. “Isso já é uma questão estrutural da própria linguagem de programação”, refere.
Para Ricardo Neves, cuja avaliação só é feita com base no que foi tornado público, a demora na resolução do problema “depende da criticidade” da falha identificada, o que explicará a inatividade do AforroNet. “É preciso muita cautela”, realça, defendendo que há casos em que é preferível “prolongar a situação” de inatividade para se garantir que a vulnerabilidade detetada “é corrigida ou que são feitas as melhorias necessárias para a segurança dos acessos”.
Pode estar em causa “uma atualização de sistema de software, o que implica corrigir vulnerabilidades críticas, médias ou de grau um”. “Existem vários tipos e podem haver outras situações, como fazer uma auditoria e revisão ao sistema e processos de segurança para identificar e corrigir quaisquer pontos fracos, incluindo novas implementações e reforço de medidas de autenticação para aceder ao site”.
Já a CheckPoint Research, multinacional especialista em cibersegurança, diz que esta “parece” ser “uma situação normal de manutenção de sistema e reforço de segurança informática”.
Ao abrir o AforroNet, os utilizadores são informados que o IGCP está “a melhorar as condições de segurança do serviço”, esperando “ser breve”. É ainda explicado que “todos os serviços associados às contas de aforro estão assegurados através da rede dos CTT”. Além das lojas físicas, os CTT têm ao dispor uma plataforma eletrónica, o Aforro Digital, cuja utilização disparou desde dia 23.
Ao DN/Dinheiro Vivo, o Ministério das Finanças garante que “a segurança das aplicações financeiras dos aforristas nunca esteve, nem está em risco”, notando que o site “beneficia de vários mecanismos de segurança”, sendo que “o acesso à conta é bloqueado em caso de tentativas erradas, e a arquitetura de movimentação dos produtos não permite a transferência de saldos para outras contas que não para a conta bancária da qual o cliente é titular e cuja autenticidade de IBAN é validada de duas formas autónomas”.
Na segunda quinzena de agosto, os utilizadores do AforroNet foram contactados pelo IGCP, via e-mail para alterarem as passwords de acesso à conta. “Informamos que, na sequência do processo de otimização dos níveis de segurança , o IGCP está a solicitar a alteração da password em uso”, lia-se. Em diferentes fóruns, muitos aforristas começaram a queixar-se de problemas no acesso à conta. Na plataforma Reddit, encontram-se diferentes testemunhos de aforristas que ao alterar a palavra passe, ou deixaram de conseguir aceder à sua conta, ou passaram a aceder a contas de terceiros.