A aplicação “Navegante”, utilizada para carregar passes de transportes públicos na área Metropolitana de Lisboa, sofreu recentemente um ataque cibernético. A própria organização responsável pela plataforma confirmou que foi alvo de um ataque “massivo”, que provocou diversos problemas no funcionamento da aplicação.

O ataque teve início no dia 30 de setembro e ainda está a afetar os serviços relacionados à plataforma. O site da Carris Metropolitana menciona que a plataforma está sob ataque, mas até o momento não há informações detalhadas sobre sua origem ou natureza mas tudo indica que se trata de um ataque de negação de serviço alojado na Oracle Cloud num centro de dados alemão.

A empresa destacou que está a trabalhar para restabelecer a normalidade o mais rápido possível. Mesmo no dia 1 de outubro, a aplicação ainda apresenta falhas e está inactiva, sugerindo que o ataque continua a ocorrer.

Considerando que o início do mês é um período em que muitos utilizadores recarregam seus passes, utilizando a aplicação para esse fim, o ataque pode ter um impacto significativo.

Este ataque poderia ter sido mitigado ou impedido se:
1. Estivesse a ser usado um serviço de mitigação DDoS, que identifica e bloqueia o tráfego malicioso.
2. Se tivesse sido configurada a infraestrutura para “autoescalamento automático” que permite aumentar a capacidade de processamento e largura de banda durante picos de tráfego.
3. Se tivessem implementado o “Oracle Cloud Load Balancer” para distribuir o tráfego entre múltiplos servidores, prevenindo que um único servidor seja sobrecarregado.
4. Se fosse usada uma “Rede de Distribuição de Conteúdo (CDN)”, como o Oracle Cloud CDN ou outro serviço CDN, pode reduzir a carga sobre o servidor principal, dado o tráfego é distribuído por diferentes pontos geográficos. Para além disso, o cache de conteúdo estático pode reduzir a necessidade de o servidor processar requisições repetidas.
5. Se estivessem também configuradas políticas de “rate limiting” para restringir o número de pedidos que um único IP pode fazer em um período de tempo específico.

Não é claro se o site navegante.pt empregava alguma destas estratégias de prevenção e mitigação.

No portal Base da contratação pública encontramos o contrato que deve ter estado na base deste site por parte da “TML – Transportes Metropolitanos de Lisboa, E. M. T., S. A.” que recentemente adjudicou vários contratos num valor superior aos 1.8 milhões de euros a várias entidades mas sobretudo à “IT4U – SOLUÇÕES INFORMATICAS LDA”.

De sublinhar que aquando do seu lançamento este site já havia sido muito criticado pela comunidade: “A primeira dificuldade que encontrei foi o facto do portal VIVA apenas aceitar o uso de applet Java para ler os dados do Cartão do Cidadão. Esta forma de aceder ao cartão de cidadão está completamente ultrapassada, uma vez que não existe atualmente nenhum browser moderno que suporte Java. Daí que a única solução possível passsa por recorrer ao velhinho Internet Explorer (em Windows, naturalmente).”
https://www.ricardomcarvalho.pt/blog/e-impossivel-pedir-o-cartao-lisboa-viva-pela-internet/

Actualmente a estrutura parece ainda marcada por alguma obsolescência: O login, por exemplo, é realizado através do Portal Viva https://www.portalviva.pt/lx/pt/public/login.aspx que descreve que “AVISO (!) Se pretende carregar passes ou zapping em cartões Lisboa VIVA deverá utilizar o browser Internet Explorer” e diz que “Se ainda não tem conta VIVA, clique em Registar.” mas o botão “Registar” não existe…

https://www.navegante.pt/noticias/app-navegante-sob-ataque-informatico