Pode ler as notícias do Expresso através do Facebook, Instagram ou LinkedIn e aceder aqui aos artigos da SIC Notícias
Os sites do jornal Expresso e da SIC foram alvo de ataque informático. A informação foi confirmada pelo grupo Impresa, que detém os dois meios. A Impresa diz ainda estar a colaborar com a Polícia Judiciária e o Centro Nacional de Cibersegurança e anuncia que “apresentará uma queixa-crime“. Os sites continuam indisponíveis e as notícias estão a ser dadas através das contas de redes sociais do grupo.
Entretanto, já esta segunda-feira, os subscritores da plataforma de streaming Opto, que pertence à SIC — estação detida pelo grupo Impresa —, receberam um SMS nos seus telemóveis que terá sido enviado pelo grupo que operou o ataque informático.
Subscritores da plataforma Opto, da SIC, receberam SMS no telemóvel enviada por hackers
Na SMS, que surge assinada como “Obrigado, Expresso” mas que terá sido enviada pelos hackers e que não deve ser aberta, lê-se: “Anunciamos Lapsus$ como o presidente de Portugal”.
A SMS enviada esta segunda-feira ao subscritores do serviço OPTO, da SIC (@ D.R.)
Também ao início da noite de este domingo os subscritores das newsletters do Expresso tinham recebido um e-mail do grupo Lapsus$, que reivindica a autoria do ataque. O e-mail foi enviado pelo endereço expresso@news.impresa.pt, a partir do qual as newsletters do semanário eram habitualmente enviadas. A direção do semanário, em comunicado dirigido aos leitores, já deixou uma nota sobre esse e-mail.
“No seguimento do ataque informático que o Expresso foi alvo, foi enviado um email com o subject: ”BREAKING Presidente afastado e acusado de homicídio” cuja autoria não é do EXPRESSO. Recomendamos que o apague“, lê-se no comunicado enviado pela Direção do Expresso
No site da SIC chegou a surgir este domingo a informação de que o grupo Lapsus$ seria o autor da ação. “Os dados serão vazados caso o valor necessário não for pago. Estamos com acesso nos painéis de ‘cloud’ (AWS). Entre outros tipos de dispositivos, o contato para o resgate está abaixo”, lia-se na mensagem assinada pelo “grupo Lapsus$”, entretanto já alterada, que pedia dinheiro em troca da recuperação do controlo dos sites.
A informação que consta no site da SIC
O valor do pedido de resgate não era referido. A mensagem chegou também a estar visível no site do Expresso, inicialmente. Entretanto, os dois sites do grupo Impresa passaram a mostrar nova informação, dizendo apenas estar indisponíveis.
Imagem que apareceu à hora de almoço de domingo nos sites da Impresa
No Twitter do jornal Expresso foi ainda publicado um post dos alegados piratas informáticos.
Caso semelhante aconteceu com a página de fotografia “Olhares” e o jornal regional O Mirante, ambos alojados da mesma rede que os sites da Impresa.
Impresa anuncia queixa-crime contra “atentado à liberdade de imprensa”
Um “atentado nunca visto à liberdade de imprensa em Portugal na era digital”: foi assim que o grupo Impresa descreveu o ataque informático de que foi alvo, confirmando-o e adiantando ainda que apresentará uma queixa-crime pelo sucedido, em nota oficial divulgada ao final da tarde de domingo.
O grupo Impresa tem trabalhado com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança, e apresentará uma queixa-crime”, indica o comunicado.
Antes, num comunicado anterior partilhado na página de Facebook do Expresso, o grupo Impresa já confirmava que os sites, assim como algumas das suas páginas nas redes sociais, estavam “temporariamente indisponíveis”, dizendo ter sido “aparentemente alvo de um ataque informático”. O grupo assegurava ainda que estavam a ser “desencadeadas ações no sentido de resolver a situação”.
Os anteriores ataques do grupo Lapsus$
Este grupo Lapsus$ já tinha, em dezembro, sido associado a ataques informáticos no Brasil, aos sites do Ministério da Saúde brasileiro, do serviço de saúde e do portal Covid. Na altura, os jornais brasileiros identificavam o grupo como sendo constituído por colombianos e um espanhol.
Nesse ataque a vários organismos de saúde, diversos sistemas ficaram indisponíveis, incluindo o da emissão de certificados de vacinação Covid-19. Segundo os jornais brasileiros, a aplicação ConecteSUS ficou, mesmo, indisponível durante semanas e continua com instabilidades e informações incompletas.
Já no final do ano o grupo está associado a outro ataque — o da operadora brasileira Claro. Canais de atendimento, os serviços de recarga de pré-pagos e sistemas internos das lojas ficaram indisponíveis nos passados dias 27 e 29 de dezembro. A operadora recusou a confirmar o ataque, mas o grupo publicou fotos da captura de écrãs com os sistemas internos da operadora e alegam ter acedido 10.000 TB de dados.
O que é o “ransomware”, responsável pelo ataque informático aos sites do Expresso e da SIC?
Centro Nacional de Cibersegurança diz que este é o primeiro ataque de que tem conhecimento do grupo em Portugal
Contactado pelo Observador, o coordenador do Centro Nacional de Cibersegurança (CNCS), Lino Santos, diz que, da informação que o Centro tem, o grupo Lapsus$ “está a atuar pela primeira vez em Portugal“.
O CNCS está em “contacto direto” com a equipa de informática do Grupo Impresa, explica, e a “prestar o apoio necessário para perceber qual foi o vetor de intrusão e recuperar do ataque”. Questionado sobre se os hackers têm informação pessoal dos assinantes digitais e outros leitores das publicações, Lino Santos diz que não pode “entrar em detalhe”.
Na mensagem que os hackers deixaram nas páginas do Expresso e da SIC, podia ler-se que os sites sofreram um “ransomware”, um tipo de ataque em que são roubados dados que são, de seguida, encriptados, o que dificulta o acesso aos mesmos. Lino Santos explica que o resgate pedido serve para “libertar os dados, ou seja, dar a chave de cifra”.
Questionado sobre como está o grupo a resolver o problema, Lino Santos também não quis dar pormenores. Diz que o Centro tem aconselhado as organizações a terem “backups atualizados” (ou seja, cópias da informação), não acessíveis online. “Uma vítima que tenha backups de toda a informação tem outro leque de atuação perante uma situação destas, é muito mais fácil recuperar”, indica. Se é o caso da Impresa? Não refere. Estes backups devem, no entanto, ser atualizados com frequência para que possam funcionar perante um ataque. O tempo para a resolução do problema depende do volume de informação e da “estratégia de reposição” do grupo, que está “a avaliar qual a melhor de rapidamente recuperar”, afirma.
Notícia atualizada às 16h57 de dia 4
