Uma das páginas que surgiam depois de clicar nos links intrusos que constavam na página da Transtejo
Durante mais de nove meses, o site da Soflusa e da Transtejo apresentou links que direcionavam o utilizador para sites de credibilidade duvidosa que permitem encomendar malas da Louis Vuitton e comprimidos Cialis e Viagra.
Os links não estavam visíveis para a maioria dos utilizadores. Apenas quem bloqueava, nas definições do browser, o uso de Javascript podia ver os curiosos links com um tamanho de letra reduzido no topo da página. Não se sabe se os produtos divulgados pelos links são genuínos, mas esse poderá ser apenas um risco entre muitos outros relacionados com este “caso”: a inclusão destes links revela a existência de uma vulnerabilidade que poderia ter sido explorada para criar um site totalmente falso, que poderia usar o mesmo endereço do original, mas que, no limite, poderia induzir em erro os internautas com meios de pagamento fraudulentos, falsas compras de títulos de transporte ou qualquer outro estratagema que os hackers se lembrassem de pôr em prática.
A Exame Informática confirmou ontem a existência da vulnerabilidade e confrontou o Grupo Transtejo com a ocorrência. Hoje de manhã, a vulnerabilidade estava sanada e os links de spam desapareceram da página.
Por e-mail, o Grupo Transtejo admitiu que apenas soube da vulnerabilidade após o contacto da Exame Informática: «Foi efetivamente detetado um código indevido no site, situação que já foi corrigida. No que diz respeito à politica de segurança do local onde está alojado o servidor, informamos que a mesma está a ser revista, de modo a evitar situações idênticas no futuro».
A empresa não fornece detalhes sobre as vulnerabilidades ou as eventuais falhas que terão sido cometidas pela empresa que gere, em regime de outsourcing, o site da Transtejo/Soflusa.
No circuito da cibersegurança nacional, corre uma versão um pouco diferente daquela que é dada a conhecer pelo Grupo Transtejo. Um especialista que apresentou, sob a condição de anonimato, o “caso” à Exame Informática garante que a vulnerabilidade é conhecida desde junho. E que já alguém do meio das tecnologias terá tido a iniciativa de alertar o Grupo Transtejo. O Grupo Transtejo desmente esta versão e reitera não ter recebido qualquer notificação sobre este assunto.
Servidor web desatualizado?
A inclusão de links de spam configura uma modalidade de ataque conhecida, na gíria da cibersegurança, por “site poisoning”. «É um estratagema criado para que determinados sites sem credibilidade, ou que são mesmo nada recomendáveis, ganhem popularidade e passem a surgir no topo dos resultados da Google», explica o mesmo especialista à Exame Informática.
Para ser bem sucedido, o “site poisoning” não necessita que os internautas cliquem nos links que foram inseridos ilegalmente (a maioria dos internautas nem sequer conseguirá vê-los). O objetivo único é multiplicar o número de sites que têm links que direcionam para endereços que, dificilmente, chegariam ao topo dos resultados do Google.
Além do número de sites com links inseridos, também a credibilidade e a importância dos sites usados para o redirecionamento ilegal podem contribuir para alavancar os sites de spam para os primeiros resultados do Google. «Tendo em conta que há empresas que gastam milhares de euros a tentar melhorar a indexação no Google, compreende-se a importância que o “site posining” pode ter para quem usa a Internet para negócios relacionados com spam», comenta o mesmo especialista sob anonimato.
O perito recorda ainda que a mesma vulnerabilidade poderia ter sido usada para transfigurar todo o site da Transtejo/Soflusa: «Só não o fizeram, porque, neste caso, os hackers optaram por tentar rentabilizar de forma discreta através de um estratagema de “site poisoning”».
Ainda não se sabe quais as falhas que estão na origem deste caso, mas há duas pistas que são apontadas pela nossa fonte: «É provável que seja um servidor web desatualizado, ou então um erro de programação no site».
