Em http://www.seg-social.pt/consultas/justica/login.asp foi possível entrar na base de dados com o utilizador Admin (administrador) graças a uma técnica simples de injeção de código SQL
A pesquisa pelo nome apresentou como resultado a morada e a data de nascimento do beneficiário
Uma técnica simples permitiu-nos aceder a uma base onde estão armazenadas informações sobre os beneficiários da Segurança Social. A página foi removida depois do alerta da Exame Informática.
H0rd0n é o nome de código de um estudante português, que tem por passatempo verificar a segurança de sites pertencentes a organismos importantes. H0rd0n, que admite ser um ex-membro de um grupo de hackers portugueses, descobriu uma vulnerabilidade no site da Segurança Social, mais propriamente numa base de dados alojada em http://www.seg-social.pt/consultas/justica/login.asp. Nesta página, uma técnica de injeção de comandos SQL, muito conhecida dos hackers, permitia entrar na base de dados e fazer pesquisas através do nome do beneficiário. Fizemos o teste com informação que nos foi enviada por H0rd0n e verificámos que, de facto, era muito fácil entrar na referida base de dados.
Fizemos pesquisas usando os nomes dos jornalistas da Exame Informática e obtivemos como resultado as datas de nascimento e as moradas, embora algumas delas estão muito desatualizadas.
A Exame Informática entrou em contacto com o Instituto de Informática da Segurança Social ao final da manhã para pedir esclarecimentos, indicando a falha identificada. A página em questão foi removida há cerca de três horas.
De acordo Miguel Alexandre Marques, Secretário do Conselho Diretivo do Instituto de Informática da Segurança Social, a «página web em causa foi disponibilizada em 2001 para dar resposta a uma situação específica e transitória, de forma a permitir aos Tribunais a validação de moradas usadas nas citações judiciais devolvidas por erro na morada, sendo esse um processo completamente autónomo do Sistema de Informação da Segurança Social.»
O mesmo responsável garante ainda que a vulnerabilidade detetada não afeta minimamente as bases de dados do Sistema de Informação da Segurança Social.
Considerando todas estas informações, somos levados a concluir que a referida base de dados de moradas esteve vulnerável desde 2001, altura em que deveria estar perfeitamente atualizada.
