exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Internet

IEFP: Portal de formadores expôs dados de 18 mil pessoas durante 14 meses

Durante 14 meses, bastava uma pesquisa no Google para descobrir no portal Netforce um repositório com os nomes e os endereços de e-mail de mais de 18 mil pessoas. Perito de segurança diz que os dados podem ser usados para phishing; IEFP desvaloriza o caso.

  • 333

Hugo Séneca

Os nomes completos e endereços de e-mail pessoais e profissionais de mais de 18 mil pessoas estiveram acessíveis durante mais de 14 meses na Net, a partir de um servidor gerido pelo Instituto de Emprego e Formação Profissional. Para aceder à listagem, bastava fazer uma pesquisa no Google e ter a casualidade de combinar nomes e termos usados nos endereços de e-mail dos profissionais de diferentes empresas e entidades que participaram num programa de avaliação online alojado num sistema conhecido por Netforce. Aparentemente, os dados dizem respeito a participantes em programas de certificados de formadores do IEFP, mas o instituto tutelado pela Segurança Social não fornece esclarecimento sobre esse assunto.

Foi um mero acaso que levou Sérgio Silva, coordenador da Unidade Informática do Conselho Superior de Magistratura, a descobrir a listagem na Web: «estava à procura de um e-mail de uma pessoa que precisava de contactar, fiz uma pesquisa no Google e deparei com a lista sem saber o que era ao certo».

O Netforce é um portal que suporta o sistema de informação da formação e certificação de formadores. O portal integrava também um acesso a um módulo de avaliação online, onde constava a lista com os dados de mais de 18 mil pessoas. Nos sites que permitem consultar o histórico da Web, é possível confirmar que a lista esteve disponível, pelo menos, entre janeiro e julho de 2014, e entre janeiro e o final de julho deste ano. O que perfaz 14 meses de exposição de dados.

O repositório em causa apenas revela nomes e e-mails, mas Sérgio Silva lembra que a facilidade de acesso a esses dados não respeita as boas práticas de segurança: «Esta lista vale dinheiro (no mercado negro). Pode ser usada para vender dados pessoais genuínos a quem queiram lançar campanhas de spam ou ataques de phishing. E pode ser usada por alguém mal intencionado para criar um site, mas que na verdade é um endereço malicioso».

A lista deixou de ficar disponível para pesquisas na Internet depois do primeiro contacto levado a cabo pela Exame Informática sobre este assunto. O que não impede o Instituto Emprego e Formação Profissional (IEFP) de desvalorizar – e, em parte, até negar – a fuga de dados pessoais: «A aplicação Avaliação Online trata-se de um instrumento desenvolvido com o objetivo de facilitar o processo de avaliação dos formandos, que teve no seu período experimental um link no portal Netforce, considerando que se trata de matéria relevante para a atividade dos formadores. A pesquisa efetuada na aplicação, seja como utilizador seja como administrador não permite aceder à listagem a que se referem no vosso e-mail», explica o IEFP por e-mail, quando questionado pela Exame Informática.

Sérgio Silva tem uma visão diferente do assunto: «Esta situação nada tem a ver com a plataforma ou o seu funcionamento depois da autenticação de um utilizador legítimo. O que se passa é que há uma página HTML disponível para toda a internet sem qualquer tipo de proteção ou validação, onde estão os dados pessoais de várias pessoas nomeadamente nome e email. Só existem duas explicações: ou a página é legítima e foi mesmo projetada para fornecer esta informação em acesso livre ou então é um erro grave de desenho da aplicação».

O IEFP considera que «não existe qualquer falha ao nível da segurança ou da privacidade» e reitera que o ficheiro em causa «era de testes». Sobre as medidas que poderão vir a ser tomadas no futuro, o instituto responde: «o IEFP encontra-se em processo de atualização de alguns sites, tendo como objetivo melhorar o serviço prestado e a experiência do utilizador. Para além disso, realizamos auditorias de segurança aos sites sob gestão do IEFP para acautelar as questões de segurança e privacidade».

  • 333