Forum Pplware

Não foi de propósito e não foi usado qualquer esquema de phishing. Uma mera consulta de rotina levou o jornalista da Exame Informática (EI) à conta de outro cliente da Caixa Geral de Depósitos (CGD).



Não tentámos realizar qualquer operação financeira, no entanto, conseguimos navegar entre duas contas que o cliente tem naquele registo online.

A navegação na conta bancária alheia durou três a quatro minutos: a meio da sessão, o jornalista da EI foi encaminhado para a página inicial do Caixadirecta on-line, enquanto navegava nas duas contas associadas ao registo da potencial vitima.

A visualização das contas serviu apenas e só para certificar-se de que a conta era válida e estava activa.

Passados minutos, receoso e curioso, o jornalista da EI acedeu à sua conta legítima noutro computador. Sem qualquer erro ou encaminhamento para a conta de outro utilizador. O saldo estava intacto.

Desconhece-se o sucedido com a conta do utilizador que aqui mantemos sob anonimato - apenas podemos garantir que não fizemos qualquer movimento.

Por motivos de segurança, a imagem que apresentamos nesta página foi alterada, a fim de evitar que o cliente possa ser reconhecido e, eventualmente, possa ser alvo de desfalque.

Estamos a tentar contactar a Caixa Geral de Depósitos, no sentido de encontrar a justificação oficial para este assunto.

ACTUALIZAÇÃO às 17:35:

Fonte oficial da Caixa Geral de Depósitos reagiu a esta notícia com um comunicado que transcrevemos na íntegra:

"Em resposta ao artigo hoje publicado na Exame Informática dando nota numa intrusão na conta de um cliente no sistema Caixa Directa On line, temos a esclarecer o seguinte:

1. Os números de contrato dos intervenientes variavam apenas em um dígito.
2. Não tendo a Caixa acesso às passwords dos clientes, os mecanismos de auditoria permitem concluir que as mesmas são iguais.
3. Independentemente de ter obtido acesso, os mecanismos de controlo existentes não permitem fazer qualquer movimentação que afecte o património do cliente.
4. A Caixa reafirma que o nível de segurança da plataforma Caixa Directa On line corresponde aos mais elevados existentes no mercado.

Agradecemos que estes pontos sejam publicados na íntegra já que os nossos clientes e os vossos leitores devem igualmente ser informados da nossa resposta."


in Exame Informática


Tenho evitado colocar noticias não tratadas, mas esta tinha que aparecer!

Vejam lá se percebi bem:

Segundo a CGD os números de conta/contracto variavam apenas em um dígito e as passwords eram iguais? Querem com isto dizer que o jornalista da EI se enganou no nº de contracto e acertou por acaso na password?

Quanto à impossibilidade de fazer qualquer movimento na conta, é verdade, pois é sempre necessária a utilização do cartão matriz.

Mas mesmo assim, não deixa de ser estranho...

O 4º ponto foi o que me fez ter a certeza que se passou algo mais do que uma conveniente coincidência

Não só é estranho como não devia acontecer, uma vez no BPInet inseri mal a palavra-chave ( daquelas coisas que uma pessoa carrega numa tecla e sabe que errou na tecla e pensa "Fogo, enganei-me" ), ele entrou-me na minha conta na mesma e mostrou-me o meu saldo disponível ( o que na altura aparecia na primeira página após a autenticação ) achei muito estranho, dei um clique num link para ver se tinha mesmo acesso total a conta e ele retomou a login dizendo que a palavra-chave estava errada.. o que não deixou de ser um erro porque tive acesso ao montante da minha conta com dados invalidos.

existem os sites de Bancos, e depois existe o do Millenniumbcp, é que nem sequer existe qualquer tipo de comparação, funcionalidades, acesso a informação detalhada, protecção de dados, acessos bastante blindados em termos de segurança.
A "falha" que é evidenciada na notícia e que a CGD obviamente tenta minimizar é passível de crime por negligência dado que existe falha de segurança por parte da CGD e consequentemente quebra do sigilo bancário.
Eu por exemplo sou cliente da CGD, Barclays, BPopular e do Millenniumbcp, é acho que este ultimo nem é comparável com os restantes em termos de segurança no seu site. Já que os Bancos andam sempre a olhar uns para os outros a imitar os produtos que comercializam, podiam ao menos pegar no site do BCP e imita-lo. Ficávamos todos a ganhar.

Já tinha ouvido (há muito muito tempo) que alguém tinha descoberto uma falha no mbnet e reportado isso a quem de direito e na altura não se quiseram chatear. Quanto ao caixa directa ainda não tinha ouvido nada.

Pode acontecer duas pessoas terem a mesma password visto a password ser composta só por números e determinadas sequências serem mais fáceis de memorizar, mas mesmo assim parece muita coincidência.

A quebra do sigilo bancário é grave mas se é que serve de consolo pelo menos para realizar operações (teoricamente) é necessário ter acesso ao cartão matriz pelo que pelo menos não há movimentações de dinheiro ... se bem que sempre que aparece uma noticia destas me lembro sempre de algumas coisas que não quero acreditar que sejam verdade.