Sexta-feira à noite, o primeiro alerta começou a correr no circuito da segurança eletrónica: os sites do Cartão do Cidadão (CC) e da AMA foram atacados por alguém com a assinatura de hack_addicted.pt. O nome não permite saber se o ataque foi feito por uma única pessoa ou por um coletivo de hackers, mas sabe-se que os autores desta investida divulgaram, através dos sites atacados, a password e o nome de utilizador usados para assumir o controlo dos dois sites – sendo que um destes sites é conhecido por distribuir o software usado pelo Cartão do Cidadão.
Ao que a Exame Informática apurou, a base de dados que suporta os dois sites tinha o nome de utilizador “root” e a password “mysql@AMA”. Não se sabe se, durante as várias horas em que estiveram disponíveis ao público, os dados foram usados por qualquer outro internauta para aceder, indevidamente, à plataforma que suporta os sites. «É uma password fraca, porque é bastante óbvia. Além disso, é algo que um hacker descobre facilmente através de ferramentas específicas que permitem experimentar várias passwords usadas em vários sites ou serviços. Na minha opinião, é uma password que não devia ser usada em sites tão importantes como são o da AMA e do CC», explica Tiago Henriques, líder do fórum especializado em cibersegurança PTCoreSec, quando questionado pela Exame Informática.
Também em resposta a questões da Exame Informática, a AMA informou que pretende apresentar o caso para a Procuradoria Geral da República para posterior investigação criminal. A AMA informa ainda que já tinha alertado as autoridades, na passada sexta-feira. O que permite confirmar que o ataque teve lugar ainda antes do fim de semana.
A AMA desvaloriza os efeitos práticos do ataque, lembrando que os conteúdos disponibilizados pelos dois sites «são meramente informativos, não transacionais, pelo que não se coloca o risco de violação de segurança de dados sensíveis». A AMA nega ainda qualquer risco de adulteração ou criação de vulnerabilidades no software usado pelo CC (e que é distribuído através do site do CC): «A disponibilização das várias versões de software do cartão de cidadão através do site www.cartaodecidadao.pt é assegurada através de ligações a servidores distintos e isolados, alocados em zona segura, pelo que não se verificou nenhum ataque informático ao software. As versões de software disponibilizadas através do site Cartão de Cidadão são apenas versões executáveis para uso público. O código fonte original está obviamente preservado em lugar seguro e permitiria, em qualquer momento, a reprodução das versões executáveis, caso elas tivessem sido alteradas ou apagadas. No entanto, e como referido, não se verificou qualquer ataque e consequente alteração deste software».
Não foi o Joomla!
Inicialmente, chegou a ser aventada a hipótese de os hackers terem recorrido a uma qualquer vulnerabilidade do Joomla! (uma conhecida plataforma de gestão de conteúdos) para assumir o controlo dos dois sites, mas Tiago Henriques acredita que não foi essa a via usada: «Sabendo as passwords e tendo acesso ao MYSQL, torna-se possível executar comandos sem passar pelo Joomla!»
No domingo, os mesmos hackers publicaram uma segunda vaga de mensagens nos dois sites atacados. Segundo o site WebSegura, que deu a notícia em primeira mão, os autores do ataque publicaram as cópias das páginas desfiguradas dos dois sites num endereço conhecido como Zone H. Desta vez, as mensagens já não continham quaisquer dados sensíveis – apenas referências a informar que os dois sites tinha sido tomados de assalto.
Depois de um período de interrupção de serviço forçada pelos técnicos da AMA, os sites do CC e da AMA voltaram hoje à operacionalidade. Aparentemente, foi feito um reinício do serviço, que terá levado à inclusão de novas passwords e nomes de utilizador. Mas há uma questão que continua por responder: Além dos hackers, quantas pessoas usaram os dados de acesso divulgados publicamente para executar comandos ou inpecionar a plataforma que suporta os dois sites?
Além do processar os dados de milhões de portugueses, o software usado pelo CC serve de base a vários serviços de assinatura digital usados por empresas públicas e privadas.
