A problemática dos quatro zeros no cartão de cidadão

Está ai o verão e depois de um inverno a comer bem,  que se reflectiu numa boa dose de quilos extra, decidi inscrever-me num ginásio para estar a pronto para a época balnear… Bom  talvez nunca lá ponha os pés, mas ao fazer a inscrição já parece que estou a fazer algo 🙂

Ora então dirigi-me à recepção, e a senhora que me atendeu pediu o meu cartão de cidadão, pensado eu que era para tirar os dados entreguei o cartão, a senhora insere o cartão no leitor e de seguida apresenta-me uma folha A4 para eu assinar com todos os meus dados já preenchidos, incluído foto e morada.

 

Isto fez-me um pouco de confusão, embora alguns dados do cartão de cidadão possam ser  públicos, outros como a morada só deveriam ser lidos mediante a introdução de um código PIN, então como é que um leitor de cartões no ginásio conseguiu ler informação que deveria ser privada ?

A resposta é muito simples !!!

Todos os cartões de cidadão recentes, versão superior a 004.003, têm como código PIN da morada quatro zeros seguidos (0000), e com isto, é possível a qualquer pessoa que tenha acesso físico ao cartão saber onde mora o titular do cartão de cidadão.

 

Não acreditam ? Vamos fazer um momento de magia !

 

Vão lá buscar à gaveta o envelope com os PINs do cartão de cidadão, eu espero….. sim isso na primeira gaveta ao lado das facturas da EDP ….. agora abram e leiam o PIN de morada… não me digam o código… esperem…. está quase….

O PIN é  0000 !!!!!   MAGIA PURA

 

Ao que parece existem aplicações, como esta do ginásio, que aproveitam esta falha de segurança para ler sem autorização do titular os dados da morada.

 

Do meu ponto de vista, quem emite os cartões de cidadão não deveria dar um PIN da morada igual em todos os documentos, é a mesma coisa que todos os cartões de multibanco tivessem o mesmo PIN, simplesmente não faz sentido.

Desta forma aconselho que mudem imediatamente o vosso PIN do cartão de cidadão através das seguintes instruções:

http://www.pofc.qren.pt/ResourcesUser/2013/Concursos_Avisos/AAC01_SAMA_8_ManualUtilizacao_Cartao_de_Cidadao.pdf

Temos de ter consciência que no cartão de cidadão existem os seguintes dados pessoais, alguns deles sensíveis:

Altura, apelido, apelido da mãe, apelido do pai, certificados digitais (autenticação), data de nascimento, fotografia, indicações eventuais, nacionalidade, número de identificação civil, número de identificação fiscal, número da segurança social, número do sistema nacional de saúde, primeiro nome, primeiro nome da mãe, primeiro nome do pai, sexo.

Os métodos podem ser vistos nesta lista:

Desenvolver uma aplicação que faça a leitura da morada com o PIN 0000 é efectivamente algo muito fácil de implementar, basta que em vez de ler o PIN do cartão, se injecte directamente o valor 0000 de forma a ler  a morada através da função card.getAddr();

 

Concluindo, este é um exemplo do que nunca se deve fazer do ponto de vista da segurança de informação, mas que é feito no documento de identificação de todos os portugueses.

Algo não está bem, por outro lado  quem faz esta leitura de dados, também o está a fazer de forma ilegal dado que o titular dos dados não dá a autorização para leitura dos mesmos, e é claro que depois estes dados são replicados por N sistemas.

About the Author:

CISO | Ethical Hacker | Security Evangelist | InfoSec Researcher | Speaker | Red Team Leader “Não é preciso ter olhos abertos para ver o sol, nem é preciso ter ouvidos afiados para ouvir o trovão. Para ser vitorioso você precisa ver o que não está visível.”

Deixe o seu comentário

%d bloggers like this: