Depois de saber que milhares de credenciais de acesso de utilizadores do Portal das Finanças foram divulgadas na Internet, a Autoridade Tributária e Aduaneira (AT) revogou as senhas de acesso comprometidas, o que obrigará os utilizadores visados a mudar de password. Quando entram no site do fisco para acederem à sua página pessoal, os contribuintes em causa são informados de que a senha está “expirada” e, para continuarem, têm de definir uma nova.

A divulgação em massa das palavras-passe de acesso a determinados sites, obtidas de forma ilegal através de código fraudulento, acontece com regularidade no universo da Internet e, desta vez, ficou a saber-se, pelo jornal Expresso, que desde Agosto estão expostas as credenciais de milhares de contas de contribuintes do Portal das Finanças — foi publicada uma lista com 15 mil entradas e, deste leque, escreve o semanário, pelo menos 9000 corresponderão a dados reais.

A revelação surge no exacto momento em que o Estado português está a lidar com os efeitos de um ataque de “ransomware” que desde a semana passada afectou as infra-estruturas da Agência para a Modernização Administrativa (AMA). Mas este caso da divulgação de dados dos contribuintes não está relacionado com o incidente dos últimos dias, nem resulta de um ataque informático aos sistemas da administração tributária.

O que aconteceu é consequência da acção criminosa dos chamados “infostealers” ou “stealers”, um tipo de código fraudulento (malware) que, segundo o Centro Nacional de Cibersegurança (CNCS), é desenvolvido para “sub-repticiamente recolher dados sensíveis de um sistema”.

Os infostealers ou stealers recolhem dados dos utilizadores — como passwords de emails e de contas de acesso a sites, cookies, dados bancários, carteiras de criptomoedas — e, numa fase posterior, essa informação é exposta de forma maciça na Internet. E foi o que se passou aqui com utilizadores digitais, que, por sua vez, têm conta no Portal das Finanças.

Segundo um esclarecimento prestado por escrito ao PÚBLICO pela própria Autoridade Tributária e Aduaneira, os dados dos contribuintes que aparecem na lista pública “não resultam de qualquer acesso ilegítimo aos sistemas da autoridade tributária, mas antes da exfiltração de dados em sistemas de terceiros ou através do comprometimento dos equipamentos dos respectivos utilizadores”.

Não se sabe quando é que o fisco soube da existência dessa lista — se em Agosto ou só recentemente —, mas “logo que tomou conhecimento” da exposição das credenciais a AT “desencadeou de imediato o procedimento estabelecido para estas situações, revogando as senhas de acesso comprometidas” e “obrigando os respectivos contribuintes a substituírem as suas senhas no próximo acesso” ao site, diz a administração tributária no mesmo esclarecimento.

O Centro Nacional de Cibersegurança é a autoridade nacional à qual as entidades públicas como a AT, as autarquias, as empresas públicas ou mesmo as entidades privadas que são operadoras de infra-estruturas críticas ou de serviços essenciais têm de reportar incidentes de cibersegurança, como tentativas de intrusão, intrusões, infecção por malware, recolha de informação ou problemas de disponibilidade dos serviços digitais.

No caso da AT, quando há fugas de dados como esta, com grupos de credenciais expostas, a administração fiscal “tem como procedimento forçar a renovação de credenciais dos utilizadores visados”, esclareceu o CNS numa nota à imprensa na terça-feira.

Nas suas explicações sobre este tipo de acções, o CNCS refere que “os infostealers ou stealers correspondem a um tipo de código fraudulento (malware) desenvolvido para sub-repticiamente recolher dados “extremamente delicados, tais como palavras-passe, cookies, detalhes bancários, carteiras de criptomoedas, emails e outros documentos”, o que representa “um desafio elevado, pois [este tipo de acções] permite contornar algumas das boas práticas clássicas na protecção de dados”.

No seu esclarecimento sobre o sucedido, o CNCS confirma que o “leak [fuga de informação] da AT que tem sido mencionado publicamente” esta semana “não está relacionado com o incidente que afecta as infra-estruturas da AMA”, antes resultando “de actividade criminosa com recurso a infostealers e instrumentos semelhantes”.

Embora nem todos os contribuintes tenham sido afectados pela intercepção (e subsequente exposição pública) das credenciais, os contribuintes têm sempre a prerrogativa de alterar a sua password no Portal das Finanças a qualquer momento, de forma preventiva, mesmo que não lhes apareça a mensagem oficial que a isso obriga.

Em declarações ao Expresso, Sérgio Silva, director executivo da empresa especializada em cibersegurança CyberS3c, aconselha “todos” os utilizadores do Portal das Finanças a alterarem a palavra-passe.

Os esclarecimentos da AT e da CNCS foram prestados aos órgãos de comunicação social, mas, até à hora de publicação desta notícia, não se encontram publicados nos respectivos sites oficiais quaisquer notas sobre o assunto, como forma de informar os cidadãos sobre o que se passou.