quarta-feira, 21 de janeiro de 2009

Bolsa de Emprego Público dos Açores com falhas informáticas (ler mais)

A 6 de Janeiro o Cidadão Angrense enviou à BEPA o seguinte e-mail, dando nota de falhas de segurança detectadas no site daquele serviço.
"Em primeiro lugar queremos manifestar o nosso apreço pela mais valia que as funcionalidades existentes no site da BEPA representam para os vários trabalhadores da Administração Regional.
No entanto, gostaríamos de alertar V. Exas. para algumas falhas de segurança e na protecção dos dados individuais.
1. Com a simples introdução do NIF, qualquer pessoa com acesso à internet pode criar e validar um utilizador;
2. Após a criação de um utilizador é possível fazer log in e inserir pedidos de mobilidade para outros departamentos ou serviços, fazendo-se passar pelo trabalhador em causa.
3. Mesmo após a criação de um utilizador validado, é possível voltar a criar outro utilizador para o mesmo trabalhador, sem que o primeiro utilizador seja invalidado. A título demonstrativo procedemos à criação de dois utilizadores para o Senhor Vice-Presidente do Governo (tutela sobre a BEPA) em que um formulou um pedido de mobilidade (para a ajudante de cozinha e outro para ir trabalhar para o Corvo). Vd. anexos. Procedeu-se de imediato à sua anulação, pois o nosso objectivo não é promover a chacota, mas sim demonstrar as fragilidades evidentes da segurança do site.
4. Não vamos dar grande conselhos para alteração do site, mas o envio apenas para o e-mail da rede Azores.Gov.Pt de cada trabalhador de uma palavra passe aleatória criada pelo sistema ou link de ligação à parte final de validação do registo, poderiam ser boas alternativas.
5. Deixamos também um reparo à forma como o site da BEPA permite a divulgação de dados individuais, tais como o vencimento auferido e a data de nascimento (Vd. anexo). Sugerimos igualmente que esses dados possam ser visualizados apenas após a validação do registo e apenas pelo próprio.
Esperamos poder ter contribuído para a melhoria do V. site, pelo que ficamos a aguardar pela V. resposta."



:: Cidadão Angrense ::
Como não obtivemos qualquer resposta, voltamos a enviar (dia 14 de Janeiro) o seguinte texto para o mais alto responsável pela BEPA


"Exmo. Senhor
Vice-Presidente do Governo Regional

No passado dia 6 de Janeiro enviámos à BEPA o e-mail que se anexa, dando conta de algumas falhas de segurança no seu site, no que concerne à criação de utilizadores.
Nada foi feito para alterar a situação. Julgamos que seria preferível suspender aquela funcionalidade até que fossem rectificadas as falhas detectadas. A BEPA limitou-se a retirar a referência ao valor da remuneração, a qual constava anteriormente, tal como fica demonstrado no documento enviado a 6 de Janeiro (Bepa_falta_de_seguranca.pdf)
Não nos foi enviada qualquer resposta de feed-back, tal como solicitado.
Voltamos a frisar que o nosso propósito não radica na tentativa de chacota com a situação, mas sim dar o nosso contributo para que a situação possa ser resolvida o mais breve possível. Pelos vistos a Direcção da BEPA não entende necessário alterar qualquer procedimento.
Para demonstrar que a situação persiste, optámos por criar vários pedidos de mobilidade para V. Exa. utilizador: sergio2 ; palavra-passe: sergio2. Poderão ser consultados após a entrada na sessão.
Aguardando uma resposta da V. parte, subscrevemo-nos com os melhores cumprimentos"

4 comentários:

Cidadão Angrense disse...

O Cidadão Angrense recebeu (dia 21 de Janeiro) a seguinte resposta enviada pelo Senhor DROAP

Em nome da Vice-Presidência do Governo, agradeço a atenção dispensada e o alerta feito sobre a Bolsa de Emprego Público dos Açores (BEP-Açores).
A esse propósito, informo que a situação reportada já havia sido oportunamente identificada pela Direcção da BEP-Açores, estando em desenvolvimento uma solução informática pelo que, a muito breve trecho, aquele problema estará ultrapassado.
Por fim, informo que procedemos à eliminação dos pedidos de mobilidade que criou em nome do Senhor Vice-Presidente.

Com os melhores cumprimentos


Victor Santos

Director Regional
Direcção Regional de Organização e Administração Pública

Cidadão Angrense disse...

Nesta mesma data (21 de Janeiro) enviámos resposta ao Senhor DROAP, dando conta da nossa satisfação em saber que as deficiência detectadas já se encontram a ser solucionadas.
O teor da resposta foi nestes termos:
Exmo. Senhor
Victor Santos
Director Regional
DROAP

Vimos manifestar a nossa satisfação pelo facto da BEPA já estar a solucionar a deficiência detectada e pelo facto de nos ter amavelmente respondido.

Estando certos que ambos procuramos a melhoria nas condições de operacionalidade da administração pública no seu todo, e muito particularmente a administração pública regional (certamente V. Exa. mais do que nós), apresentamos os nossos melhores cumprimentos.

Atentamente,
Manuel Pereira

Anónimo disse...

Caro Senhor Manuel Pereira:
Será que pode enviar os ficheiros que comprovam a falta de segurança da BEPA para o mail helio@diarioinsular.com

Cumprimentos,

Hélio Vieira

Cidadão Angrense disse...

Caro senhor Hélio Vieira
Se conseguir obter o número de contribuinte de qualquer funcionário da Região Autónoma dos Açores, poderá criar um utilizador e uma palavra-passe.
Depois disso, poderá ter acesso a vários dados pessoais, tal como a remuneração, habilitações literárias, etc.
Poderá ainda fazer pedidos de mobilidade profissional, como se do funcionário em causa se tratasse.
A falha de segurança pode ser confirmada directamente por V. Exa.
Atentamente,
::Cidadão Angrene::