A crescente popularidade dos Certificados de Aforro pode estar a atrair a atenção de cibercriminosos para o AforroNet, a plataforma online da IGCP destinada à gestão de investimentos. A principal vulnerabilidade do sistema residia na simplicidade do processo de autenticação, que se baseava numa senha de apenas seis dígitos, um nome de utilizador e parte do número de contribuinte (NIF). Esta combinação de factores tornava as contas dos utilizadores do aforro.net potencialmente vulneráveis a ataques automatizados, conhecidos como ataques de força bruta, nos quais os hackers tentam adivinhar as senhas utilizando diversas combinações de caracteres. Além disso, o uso de parte do NIF como credencial aumentava significativamente o risco de invasões, especialmente se tivermos em conta os diversos casos de exfiltração de dados que expõem essas informações em que o maior e mais conhecido é da TAP em que o grupo Ragnar Locker publicou 581GB de informação incluindo dados de 1,5 milhões de clientes, assim como dados de colaboradores incluindo os seus números de contribuintes.

Dada a fragilidade do sistema de autenticação do Aforro.net e a existência de várias bases de dados à venda na darkweb por algumas centenas de euros, os cibercriminosos podiam combinar os NIFs com diferentes passwords e nomes de utilizador, aumentando as chances de sucesso em seus ataques.

Para fortalecer a segurança da plataforma e proteger os investimentos dos seus utilizadores, teria sido prudente que o IGPC tivesse adoptado medidas mais robustas, como a implementação da autenticação de dois factores. Esta medida exige que o utilizador forneça duas ou mais formas de identificação para aceder à conta, por exemplo, uma password e um código enviado por SMS para o seu telemóvel ou (ainda) melhor uma OTP (“one time password”) gerada por uma aplicação como o Microsoft Authenticator ou o Google Authenticator. Além disso, a utilização de captchas, que são aqueles testes que pedem para identificar imagens, poderia ser eficaz para diferenciar entre acessos humanos e robóticos, dificultando assim a realização de ataques automatizados.

É importante ressaltar que, mesmo com a implementação dessas medidas de segurança, os utilizadores também devem adoptar práticas seguras para proteger as suas contas:
1. Evitar o uso de passwords fracas e facilmente adivinhadas,
2. Não partilhar passwords com terceiros,
3. Não repetir passwords por várias plataformas
4. Usar um bom gestor de passwords e
5. Estar sempre atento a e-mails e mensagens suspeitas.

Após muitos anos a usar como password um pin numérico simples e depois de muitas reclamações por parte da comunidade de cibersegurança o IGPC melhorou – finalmente – o sistema de autenticação e no começo de agosto de 2024, e reforçou o sistema de autenticação trocando o obsoleto sistema de PINs (como ainda faz – e mal – a SIBS no Multibanco). Por aí: muito bem. Os problemas vieram da forma como o fizeram:
Quem tentava abrir uma sessão no site do IGPC deparou com uma mensagem a pedir para actualizar a palavra-passe. No decurso do processo muitos utilizadores bloquearam as suas contas (o que foi confirmado numa chamada – de demorou 40 minutos até ser atendida – ao call center do IGPC) porque usaram gestores de passwords (uma boa prática) para criarem a nova password a qual deveria ter entre 8 a 12 caracteres e incluir uma letra minúscula, uma letra maiúscula, um algarismo e um carater especial (@#$%^&*()_+~|{}[]\/=)

Problemas daquilo que devia ter sido um aumento de segurança e que, afinal, acabou por se tornar um tremendo embaraço para o IGPC:
1. A mudança para passwords complexas implicava que não podia ser usada uma lista de caracteres. Se um destes caracteres fosse usado (porque é que a verificação não era feita logo no écran de mudança?!) a conta ficava bloqueada.
2. Se tentar mudar a password (porque, p.ex., colocou um dos caracteres proibidos), só pode tentar alterar uma vez em cada dia (e o link de recuperação de passwords tem uma validade de apenas 5 minutos).
3. Estas alterações do sistema de autenticação estiveram na base do desligamento de acessos através do site IGPC sendo os utilizadores atirados para a https://aforronet.igcp.pt/indisponibilidade/index.html. As razões não são claras (segurança pela obscuridade não é segurança) mas estão certamente relacionadas com a alteração do sistema de autenticação sendo intrigante que existisse uma lista de caracteres proibidos para a password.
A password dos utilizadores está, assim, a ser gravada em plain text e não em Hashing? (Em vez de armazenar a password directamente, a aplicação armazena um hash da senha, que é a sua representação criptográfica). Isto é conforme ao RGPD?
4. Porque é que não aproveitaram esta mudança para implementar Autenticação de dois fatcores (2FA) que acima sugerimos? Uma camada extra de segurança que exigiria uma segunda forma de verificação, como um código enviado por SMS ou uma aplicação de autenticador.
5. O que se passou e levou o IGPC a – de urgência – desligar o site poderá ter sido uma questão de mistura de sessões? Onde a qualquer momento a sessão de um utilizador muda para o de outro utilizador também logado no site ao mesmo tempo? Só algo desta escala pode explicar uma decisão tão radical como a de desligar o acesso. Um problema destes pode ser provocado por erros na cookies, na expiração das sessões ou em bugs resultantes de alterações recentes no site (como a instalação de um novo sistema de autenticação). Uma anomalia deste tipo pode levar a que outros utilizadores tenham acesso aos dados pessoais e financeiros de outros, a transacções fraudulentas e à exfiltração de dados pessoais. Se isto acontecer quando o site voltar acima o utilizador deve:
a) fechar todas as sessões do browser
b) apagar as cookies
c) contactar a linha de suporte do IGPC
d) mudar a password

O que é o aforro.<net>?
Por fim, quem num motor de buscar escrever “aforro.net” é direccionado para uma página que é redireccionada para uma página de “shopping”.
Com efeito, o domínio DNS foi comprado à https://www.limestonenetworks.com nos EUA e está alojado num servidor virtual em Washington (EUA) alojado na Leaseweb Virginia.
Se formos a https://whois.domaintools.com/aforro.net verificamos que alguém registou em domínio em
Created on 2012-08-17
Expires on 2025-08-17
Updated on 2024-07-31
E o está a manter (pagar) mas que ocultou a sua identidade:
“Registrant Name: Registration Private”
Uma vez que o registo tem mais de dez anos não parece ser uma preparação para uma operação maliciosa de DNS spoofing (ver https://cidadaospelaciberseguranca.com/2024/08/21/spoofing-bancario-o-que-e-como-o-podemos-prevenir-o-que-podem-fazer-as-autoridades/) mas uma “reserva” feita há muito com intuitos comerciais. Contudo, dadas as semelhanças entre o nome do produto financeiro do IGCP e o domain “aforro.<net>” eis algo a que as autoridades e o próprio IGCP devem estar atentos.