Exmos Senhores da <Instituição Pública em Portugal>
Vimos por este meio alertar de uma possível situação de “excesso de informação pública” (possivelmente “divulgação acidental”), sendo esta informação potencialmente perigosa não para a <Instituição Pública em Portugal> em si, mas para todo o tecido empresarial.
Muitos bancos têm documentos públicos que abordam as transferências SEPA, os códigos mais usados, como fazer comunicação C2B, etc, mas geralmente são documentos de poucas páginas (5 a 10), feitos na óptica do utilizador comum.
Numa pesquisa realizada no Google, acidentalmente foram encontrados estes dois manuais (de 2016 e de 2019), de mais de 100 páginas cada um, que contém códigos, códigos de erro, informação estrutural do ficheiro, etc.
Apesar de não parecer nada crítico, alertamos para o facto que 99% dos utilizadores comuns não precisam de tal informação, e alertamos que esta informação é extremamente útil a quem desejar manipular ou atacar o sistema, seja com malware ou mesmo capturar e modificar ficheiros, o que torna tal manual um potencial risco para todas as empresas que usam tais ficheiros.
Qualquer utilizador malicioso ganha aqui com os manuais uma visão ampla dentro do sistema, e isso é um risco grande. Mesmo sem códigos de acesso, permite conhecimento para manipular pacotes existentes, pois além do código mostra ainda o processo e lógica do funcionamento.
Em todo o website da instituição, só foi encontrado o link sobre perguntas frequentes que menciona a existência do referido manual, tal como se observa na imagem 02, mas mesmo esse link remete para a versão mais antiga, de 2016.
Exmos Senhores da Instituição Pública em Portugal
Vimos por este meio alertar de uma possível situação de “excesso de informação pública” (possivelmente “divulgação acidental”), sendo esta informação potencialmente perigosa não para a Instituição Pública em Portugal em si, mas para todo o tecido empresarial.
Imagem 01
Muitos bancos têm documentos públicos que abordam as transferências SEPA, os códigos mais usados, como fazer comunicação C2B, etc, mas geralmente são documentos de poucas páginas (5 a 10), feitos na óptica do utilizador comum.
Numa pesquisa realizada no Google, acidentalmente foram encontrados estes dois manuais (de 2016 e de 2019), de mais de 100 páginas cada um, que contém códigos, códigos de erro, informação estrutural do ficheiro, etc.
Apesar de não parecer nada crítico, alertamos para o facto que 99% dos utilizadores comuns não precisam de tal informação, e alertamos que esta informação é extremamente útil a quem desejar manipular ou atacar o sistema, seja com malware ou mesmo capturar e modificar ficheiros, o que torna tal manual um potencial risco para todas as empresas que usam tais ficheiros.
Qualquer utilizador malicioso ganha aqui com os manuais uma visão ampla dentro do sistema, e isso é um risco grande. Mesmo sem códigos de acesso, permite conhecimento para manipular pacotes existentes, pois além do código mostra ainda o processo e lógica do funcionamento.
Em todo o website da instituição, só foi encontrado o link sobre perguntas frequentes que menciona a existência do referido manual, tal como se observa na imagem 02, mas mesmo esse link remete para a versão mais antiga, de 2016.
Imagem 02
Como se pode observar pela imagem 01, existe uma versão mais moderna de 2019, que está a ser indexada também pelo Google.
Entende-se que é perfeitamente normal haver manuais de comunicação entre cliente e a instituição, mas alertamos que a exposição de manuais técnicos sem qualquer controlo, expostos publicamente no Google para qualquer pessoa encontrar, são potencial risco. Este tipo de manual técnico deveria ser transmitido apenas a utilizadores verificados, identificados e que tivessem necessidade de tal, devido à sensibilidade do conteúdo.
Pelas razões acima expostas, pedimos a V. Exas. que verifiquem a necessidade de ter tais manuais de acesso público, e recomendamos uma verificação das políticas de indexação do domínio, para evitar que motores de busca acedam a ficheiros tão livremente.
Agradecemos desde já o tempo e atenção dispensados e colocamo-nos à disposição para colaborar ou esclarecer qualquer ponto adicional que possamos ajudar, na perspetiva de reforço da segurança digital.
Como se pode observar pela imagem 01, existe uma versão mais moderna de 2019, que está a ser indexada também pelo Google.
Entende-se que é perfeitamente normal haver manuais de comunicação entre cliente e a instituição, mas alertamos que a exposição de manuais técnicos sem qualquer controlo, expostos publicamente no Google para qualquer pessoa encontrar, são potencial risco. Este tipo de manual técnico deveria ser transmitido apenas a utilizadores verificados, identificados e que tivessem necessidade de tal, devido à sensibilidade do conteúdo.
Pelas razões acima expostas, pedimos a V. Exas. que verifiquem a necessidade de ter tais manuais de acesso público, e recomendamos uma verificação das políticas de indexação do domínio, para evitar que motores de busca acedam a ficheiros tão livremente.
Agradecemos desde já o tempo e atenção dispensados e colocamo-nos à disposição para colaborar ou esclarecer qualquer ponto adicional que possamos ajudar, na perspetiva de reforço da segurança digital.
Iniciativa CpC: Cidadãos pela Cibersegurança 
Deixe um comentário