A AforroNet enfrentou interrupções após não conseguir substituir as senhas dos usuários, de acordo com a Iniciativa CpC: Cidadãos pela Segurança Cibernética. Segundo o CpC, a crescente popularidade das obrigações de capitalização poderá atrair a atenção dos cibercriminosos para a plataforma online do Instituto de Gestão da Tesouraria e do Crédito Público (IGCP), destinada à gestão de investimentos.
Até recentemente, a AforroNet era vulnerável devido a um processo de autenticação excessivamente inegável, baseado numa palavra-passe de seis dígitos, um nome de utilizador e um componente de número de contribuinte (TIN).
A combinação fundamental tornou as contas potencialmente vulneráveis a ataques de força bruta, nos quais os hackers tentam adivinhar senhas usando combinações, diz o CpC. Além disso, o uso do NIF como identificador aumenta a ameaça de intrusão, especialmente após incidentes de exfiltração de conhecimento, como o ataque TAP.
Para mitigar os riscos, o IGCP implementou medidas de segurança fisicamente mais fortes, como a autenticação de dois fatores e a utilização de captchas, que podem tornar os ataques automatizados mais complicados e proteger melhor os investimentos dos utilizadores, sugere o estudo.
Em agosto passado, o IGPC investiu na melhoria do sistema de autenticação da plataforma, substituindo o PIN virtual descartado por senhas mais complexas. No entanto, o procedimento se mostrou problemático: muitos usuários bloquearam suas contas quando tentaram atualizar suas senhas, especialmente ao gerenciar senhas.
As novas senhas deveriam ter entre 8 e 12 caracteres, com requisitos expressos, mas o uso de certos caracteres fez com que a conta fosse bloqueada imediatamente. A situação ficou aborrecida porque só era possível tentar substituir a senha uma vez por dia e o link de recuperação expirou após cinco minutos.
Estas interrupções teriam provocado o “encerramento” do site do IGPC, sugerindo possíveis problemas graves, como a fusão de sessões de utilizadores, assume o CpC. Além disso, a falta de autenticação de dois fatores provavelmente teria levantado questões sobre a segurança da nova implementação e a conformidade com o GDPR, especialmente quando se trata de armazenamento de senhas.