O Centro Nacional de Cibersegurança (CNCS) afasta ligações entre um “leak de dados da Autoridade Tributária (AT) que tem sido mencionado publicamente” e o ataque dirigido à Agência para a Modernização Administrativa (AMA). Porém, não explicita a origem desta fuga de dados, quando foram comprometidos ou desde quando estão a circular.
“Relativamente a um leak da Autoridade Tributária (AT), que tem sido mencionado publicamente, o mesmo não está relacionado com o incidente que afeta as infraestruturas da AMA”, diz o CNCS em comunicado divulgado esta terça-feira.
Chegaram ao Observador mensagens através do WhatsApp, cujo remetente original é desconhecido, com um alerta para “um brutal leak de informação do Ministério das Finanças com NIF [número de identificação fiscal] e respetivas passwords”, é possível ler. Na mensagem, acompanhada por uma ligação para um site, pede-se para se seja feita uma pesquisa pelo respetivo NIF. Caso fosse detetado na lista disponível, era pedido para se alterar a palavra-passe do acesso ao Portal das Finanças “assim que possível”.
“O leak em causa, constituído por grupos de credenciais expostas, resulta de atividade criminosa com recurso a infostealers e instrumentos semelhantes”, é explicado pelo CNCS. Os infostealers, ou stealers, são um tipo de código malicioso (malware) desenvolvido para sub-repticiamente recolher dados sensíveis de um sistema, explica o centro.
Na nota à imprensa, é ainda referido que “a publicação deste tipo de leaks é algo que ocorre com alguma regularidade”.
É explicado que a Autoridade Tributária, “sempre que tem conhecimento de grupos de credenciais expostas, tem como procedimento forçar a renovação de credenciais dos utilizadores visados”.
O CNCS refere que, em relação ao incidente contra as infraestruturas da AMA, “o processo de análise forense e resolução deste incidente decorre a bom ritmo” e que foram “implementadas medidas paliativas e de reforço, que garantem a segurança adequada no restabelecimento dos serviços afetados”. O incidente com a AMA foi tornado público a 10 de outubro.
Finanças dizem que dados não vêm de “acesso ilegítimo aos sistemas da Autoridade Tributária”
Em resposta por escrito às questões do Observador, fonte do Ministério das Finanças refere que “os dados constantes da referida lista não resultam de qualquer acesso ilegítimo aos sistemas da Autoridade Tributária mas antes da exfiltração de dados em sistemas de terceiros ou através do comprometimento dos equipamentos dos respetivos utilizadores”. No entanto, não há informação sobre quando é que isto aconteceu.
“Logo que tomou conhecimento da existência da mesma lista, a Autoridade Tributária desencadeou de imediato o procedimento estabelecido para estas situações”, explica o Ministério. Já sobre se houve uma notificação ou alerta aos utilizadores que possam ter tido os seus dados comprometidos, concretiza que foram revogadas “as senhas de acesso comprometidas, obrigando os respetivos contribuintes a substituírem as suas senhas no próximo acesso ao Portal das Finanças”, continua a mesma fonte.
(Notícia atualizada quarta-feira, 16 de outubro, às 12h48 com alteração de título)
