“Exmos Senhores da <Instituição Pública em Portugal>

Vimos por este meio alertar de uma possível situação de “excesso de informação pública” (possivelmente “divulgação acidental”), sendo esta informação potencialmente perigosa não para a <Instituição Pública em Portugal> em si, mas para todo o tecido empresarial.

Muitos bancos têm documentos públicos que abordam as transferências SEPA, os códigos mais usados, como fazer comunicação C2B, etc, mas geralmente são documentos de poucas páginas (5 a 10), feitos na óptica do utilizador comum.

Numa pesquisa realizada no Google, acidentalmente foram encontrados estes dois manuais (de 2016 e de 2019), de mais de 100 páginas cada um, que contém códigos, códigos de erro, informação estrutural do ficheiro, etc.

Apesar de não parecer nada crítico, alertamos para o facto que 99% dos utilizadores comuns não precisam de tal informação, e alertamos que esta informação é extremamente útil a quem desejar manipular ou atacar o sistema, seja com malware ou mesmo capturar e modificar ficheiros, o que torna tal manual um potencial risco para todas as empresas que usam tais ficheiros.

Qualquer utilizador malicioso ganha aqui com os manuais uma visão ampla dentro do sistema, e isso é um risco grande. Mesmo sem códigos de acesso, permite conhecimento para manipular pacotes existentes, pois além do código mostra ainda o processo e lógica do funcionamento.

Em todo o website da instituição, só foi encontrado o link sobre perguntas frequentes que menciona a existência do referido manual, tal como se observa na imagem 02, mas mesmo esse link remete para a versão mais antiga, de 2016.”

Resposta dessa instituição:

“Em resposta à sua mensagem, informamos que, na sequência da análise interna efetuada, e tendo em consideração as questões de segurança identificadas, com as quais concordamos, iremos proceder à remoção do Manual (omitido) do sítio institucional do (omitido).

Muito agradecemos a colaboração e o alerta prestado.”