910kWh poupados com a
i

A opção Dark Mode permite-lhe poupar até 30% de bateria.

Reduza a sua pegada ecológica.
Saiba mais

Computer Hackers Meet For Annual Congress
i

O ataque informático às páginas do grupo Impresa foi divulgado a 2 de janeiro de 2022

Getty Images

O ataque informático às páginas do grupo Impresa foi divulgado a 2 de janeiro de 2022

Getty Images

As dúvidas do ataque de hackers que obrigou a Impresa a recuar no tempo. O que pode ter sido comprometido?

Dados de cartões de créditos não terão sido roubados. Mas ainda há dúvidas sobre o ataque de hackers feito por um grupo pouco conhecido. O que pode estar em causa no ataque informático à Impresa?

Dois de janeiro não terá sido escolhido em vão. Este foi o dia em que piratas informáticos do auto-denominado grupo Lapsus$ assumiram o ataque aos sites do grupo Impresa (dona do Expresso, SIC, Opto, entre outros meios e serviços). Como foi logo noticiado em vários jornais, nesse domingo de início de ano — ainda muitos descansavam do ano novo — aquela que é uma das principais empresas de media em Portugal estava debaixo de fogo. Houve pânico no grupo, mas as notícias e programas continuaram a ser feitos — como até mostra a edição de 49.º aniversário lançada na sexta-feira e os sites provisórios entretanto lançados. Não obstante, ainda há dúvidas quanto aos efeitos provocados, ainda para mais depois de a Impresa ter notificado a Comissão Nacional de Proteção de Dados (CNPD) de violação de dados pessoais. Exatamente a que dados os hackers (piratas informáticos) tiveram acesso? Têm os números de telefone de que subscritores?

Sites do jornal Expresso e da SIC hackeados com pedidos de resgate pelos piratas informáticos

O dia [logo a seguir ao Ano Novo]  “não foi ao calhas”, refere Duarte Freitas, gestor de marcas de serviços de segurança da IBM. Terá sido também essa a razão para ter levado três dias para o grupo de comunicação social português, com alguns sites ainda inacessíveis, revelar mais detalhes. É por este motivo, nalguns casos de ataques que levantam tantas dúvidas, que a solução acaba, por vezes, ser a de “pagar-se” a hackers, admite o perito da IBM. Mas, neste caso, não se saberá o que é que estes atacantes querem, sabendo-se apenas que tiveram acesso a conteúdos e permissões que não deveriam ter tido.

PUB • CONTINUE A LER A SEGUIR

“Até à data (…) não há evidências” que palavras-passe ou dados de cartões de créditos possam ter sido comprometidos, diz o grupo Impresa. Porquê o “até à data”? Mesmo tendo passado quase uma semana desde o ataque, pode ainda não saber-se todos os danos, acrescenta ao Observador Marc Rivero Lopez, investigador sénior de segurança na Kaspersky. “Não sabemos ao que é que os hackers tiveram acesso”, acrescenta o perito.

A mensagem que os atacantes publicaram nos sites do grupo Impresa

Nestas situações, que “podem acontecer até aos melhores sistemas”, como diz Duarte Freitas, há um grande problema: “Parece que [os hackers] tiveram acesso a uma credencial [de login] de alto nível”. Como, aliás, confirmou a Impresa no último comunicado, no qual disse que o grupo de atacantes conseguiu “uma intrusão na rede interna, bem como nos meios de controlo da plataforma de cloud (AWS) utilizada pelo grupo”. Por este motivo, mesmo não sendo um claro caso de ransomware, o responsável de cibersegurança da IBM também admite que possa ser necessário “negociar-se um resgate”. Porém, a trama adensou-se. A 2 de janeiro, a mensagem dos alegados atacantes nas páginas das marcas do grupo referia que era preciso pagar um “valor necessário”, mas o grupo de media disse, no referido comunicado, três dias depois, que “não foi efetuado qualquer pedido de pagamento (‘resgate’)”.

O Observador tentou contactar a Impresa para saber mais informações quanto aos dados comprometidos, tendo tido como resposta o comunicado divulgado na quarta-feira.

Foi ransomware? O que é que aconteceu exatamente? E como está a ser resolvido?

Ransomware é um tipo de ataque que envolve malware (ficheiro informático com propósitos intrusivos), que permite que “um atacante se apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a possibilidade de esta poder aceder-lhes”, como define a Agência Europeia para a Segurança das Redes e da Informação (ENISA, na sigla original). Inicialmente, como foi também noticiado pelo Observador, presumiu-se que se tratava de um caso de ransomware, mas ainda há dúvidas sobre o tipo de ataque.

A palavra chave aqui é o malware. Ao terem tido acesso a credenciais válidas de alto nível, os hackers do Lapsus$ podem, simplesmente, ter entrado nos serviços na cloud do grupo Impresa e copiado os dados sem recurso a qualquer malware, explicam os especialistas. Aliás, como diz o Expresso esta sexta-feira (na sua edição impressa), a Polícia Judiciária crê que os piratas informáticos entraram nos servidores por uma questão de “ego”. Ou seja, para mostrar que conseguiam. Mas, pelo meio, destruíram “milhões” de ficheiros internos do jornal e da televisão.

O que é o “ransomware”, responsável pelo ataque informático aos sites do Expresso e da SIC?

Por este motivo é que Duarte Freitas acredita que “quase de certeza que não aconteceu com a Impresa [um caso de ransomware]”. Assumindo que não tem conhecimento do motivo pelo qual o grupo de media foi atacado, deixa a hipótese: “Se calhar foi uma coisa diferente, é muito complicado”. O responsável da IBM deixa a interrogação: “O que é que queriam [os atacantes], um dano reputacional?”, interroga, deixando a afirmação que poucos gostam de ouvir: “Isto pode acontecer a qualquer um”.

Como se raptou o primeiro computador: a história com 33 anos que envolve o vírus da sida, um biólogo e um criptovirologista da Google

Estas dúvidas também surgem porque, “quando há um ransomware, pede-se um resgate”. E, por outro lado, pode pedir-se resgates sem ser um ataque de ransomware. As empresas valorizam “o montante dos bens que estão no controlo” dos atacantes e, vendo o último backup (ficheiros com cópias dos sistemas e conteúdos) feito, começam um processo de negociação. “Às vezes negoceia-se”, assume o especialista, explicando que estas situações costumam envolver grande secretismo e que a IBM “não assume o papel de negociador”. “Esse papel está ligado a empresas e advogados” que estão a ajudar a gerir este tipo de crises. “Tenho conhecimento de umas empresas mais pequenas em que o valor para se repor [os sistemas] era muito superior ao de se recorrer a backups“, diz Duarte Freitas.

Porém, até agora, de acordo com o que o Expresso avança, os piratas do grupo Lapsus$  não pediram dinheiro. Com isto, não terá havido nem malware nem pedido de resgate. Sobra o quê? Pirataria informática tão básica como ver  o código de alguém e entrar no smartphone sem que esta pessoa saiba.

"Tenho conhecimento de umas empresas mais pequenas em que o valor para se repor [os sistemas] era muito superior ao de se ter de recorrer a backups", diz Duarte Freitas

Mesmo assim, estas situações como a que terá acontecido com a Impresa são bastante “delicadas”, como realça o especialista de cibersegurança da IBM. Caso venha a ser feito um pedido de resgate para recuperar os acessos que foram roubados, “continua a haver a possibilidade de alguém receber o dinheiro e ir-se embora”, refere e, por isso, “é verdade” que é como negociar com terroristas. Porém, trata-se de um “modelo de negócio”. As empresas peritas em gerir este tipo de situações fazem processos de averiguação para perceber o modus operandi dos atacantes e confirmar se, em casos anteriores, cumpriram com a palavra repondo os dados ao receber um resgate. Quanto ao que poderá fazer o grupo Lapsus$ — que já terá estado por detrás de ataques a entidades estatais brasileiras e grandes empresas como a Eletronic Arts — Duarte Freitas assume: “Não sei como operam”.

Independentemente do cenário, facto é que é desde o início um caso de Justiça. Desde o primeiro comunicado divulgado que o grupo de media diz estar a trabalhar “com a Polícia Judiciária (PJ) e com o Centro Nacional de Cibersegurança” para resolver a situação e encontrar os responsáveis pelo ataque. Esta semana foi também conhecido que o Ministério Público já iniciou uma investigação e a CNPD está também a avaliar os potenciais danos quanto a dados pessoais comprometidos. Ao Expresso, a PJ diz acreditar que se trata apenas de um grupo que quis “sobretudo” fazer um “ato de sabotagem informática”.

Sabendo a eventual intenção, há também a questão de saber se a falha pode estar relacionada com a Amazon Web Services (AWS), a empresa que presta os serviços digitais na nuvem para manutenção e alojamento dos portais da Impresa. Porém, isto parece refutado pela Impresa ao assumir que, “utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do Grupo Impresa e outros serviços”. Questionada pelo Observador, a AWS não respondeu às questões quanto ao que está a ser feito nem se o problema estará ligado a uma falha dos seus sistemas. No entanto, ao que foi possível apurar, todas as funcionalidades de segurança e redes AWS terão respondido como deveriam.

Assim, volta-se ao ponto que também Marc Rivero Lopez e vários peritos nesta área têm referido esta semana: “Problemas de cibersegurança acontecem praticamente todos os dias”. Convém é estar preparado para o pior cenário. Isto porque, como foi noticiado, os atacantes podem ter tido em mãos os acessos aos serviços de AWS da Impresa. “Se têm isso, têm acesso a tudo”, diz Rivero Lopez, que vai ainda mais longe: “Basicamente, com este ataque, pode desligar-se e apagar servidores”.

Esta afirmação ganha mais força sabendo-se que o ataque informático levou a que a edição desta semana do Expresso fosse feita “à moda antiga”. “Foi como voltar atrás, viajar no tempo”, assumiu na quinta-feira João Vieira Pereira, diretor do jornal, à SIC e a outros órgãos de comunicação social. “Não pudemos aceder ao arquivo”, revelou também.

Diretor do Expresso. “Tivemos de reaprender a fazer um jornal à moda antiga”

Estas afirmações vão ao encontro da notícia avançada pelo JN na quarta-feira, que citava fonte de uma empresa de cibersegurança a dizer que “foi uma destruição total, preparada e dirigida”. Porém, também há a hipótese de os hackers terem, simplesmente, encontrado um problema durante o ataque e optado por apagar os conteúdos para o “sabotar”, como referiu fonte da PJ, citada pelo Expresso. Independentemente do caso, como refere Rivero Lopez, o trabalho não passa só por “descobrir a vulnerabilidade”. “Também é necessário recuperar a confiança” de quem interage com as plataformas do grupo.

Ataque informático destruiu arquivos do Expresso e da SIC

Quanto a recuperar a confiança, e da mesma maneira que é pouco provável um raio cair no mesmo sítio duas vezes, “esta empresa recuperará em breve para garantir que isso nunca aconteça novamente”, diz o especialista da Kaspersky. Até lá, continuará com os sites provisórios e, tanto quanto for possível, com o processo de recuperação do que perdeu.

“Nome, email e contacto telefónico”. Os dados é que podem ter sido comprometidos

Quem é subscritor do Expresso e da Opto, a plataforma de streaming da Impresa, recebeu na segunda-feira uma SMS na qual o grupo Lapsus$ reclamava ser presidente de Portugal, incentivando os recetores a carregarem numa hiperligação. Como realçou a Impresa, e vários peritos em cibersegurança têm afirmado, “deve apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo”. Quem é subscritor destes serviços pode ter-se deparado com outra questão: “Os atacantes têm os meus dados de cartão de crédito?”.

Subscritores da plataforma Opto, da SIC, receberam SMS no telemóvel enviada por hackers

A resposta aqui, tanto quanto se sabe, é não. Como afirmou o grupo fundado por Francisco Pinto Balsemão, “alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login [acesso], como o seu nome, email e contacto telefónico”. Porém, tanto palavras-passe como dados de cartão de crédito não terão sido comprometidos, crê até “à data” a Impresa.

Este problema pode ser grave, explica Duarte Freitas: “Ataques como este podem comprometer qualquer informação alojada de forma digital nas plataformas que foram atacadas”. “Podem ser dados pessoais ou de outra natureza qualquer”, continua. Mas “se os dados forem guardados recorrendo a uma cifra, e os atacantes não tiverem forma de os decifrar, dificilmente conseguirão utilizá-los para o que quer que seja”, diz também.

"Ataques como estes podem comprometer qualquer informação alojada de forma digital nas plataformas que foram atacadas"

Quanto às palavras-passe, a recomendação é a de sempre: não utilize a mesma password para vários serviços e vá alterando-a com regularidade. Sempre que possível, “ative a autenticação por dois fatores”. Isto torna “quase impossível” que uma conta seja comprometida, diz Rivero Lopez.

Mas e os meus cartões de crédito?

Quanto aos cartões de crédito, em Portugal segue-se a Diretiva de Serviços de Pagamento (DSP2), que obriga os bancos a terem “autenticação forte dos clientes”, explica o Banco de Portugal na sua página oficial. Rivero Lopez pega também nesse normativo — “se em Portugal se segue esta norma, não conseguirão fazer pagamentos não autorizados” porque implica haver uma autorização externa à qual os atacantes não têm acesso. Por outras palavras, mesmo que tivessem sido comprometidos dados bancários, as consequências não seriam graves, por ser necessário outro nível de autenticação.

Impresa “não tem evidências” que dados bancários e passwords tenham sido acedidas. Garante não ter havido pedido de resgate

Já em relação aos dados pessoais, como refere Duarte Freitas, o facto de os atacantes terem enviado uma SMS (mensagem curta) “não significa obrigatoriamente que estes números estejam associados a outros dados pessoais que permitam identificar um indivíduo, mas o mais natural é que tenham acedido a uma base dados com mais informação pessoal”.

Como contou o Público na quinta-feira, ainda a Impresa não tinha notificado a CNPD e esta comissão já tinha avançado com um “processo de averiguações”. Porém, “deverá demorar meses, dada a dimensão do ataque”, até se saber todos os danos causados, disse uma responsável da comissão ao mesmo jornal.

Ofereça este artigo a um amigo

Enquanto assinante, tem para partilhar este mês.

A enviar artigo...

Artigo oferecido com sucesso

Ainda tem para partilhar este mês.

O seu amigo vai receber, nos próximos minutos, um e-mail com uma ligação para ler este artigo gratuitamente.

Ofereça até artigos por mês ao ser assinante do Observador

Partilhe os seus artigos preferidos com os seus amigos.
Quem recebe só precisa de iniciar a sessão na conta Observador e poderá ler o artigo, mesmo que não seja assinante.

Este artigo foi-lhe oferecido pelo nosso assinante . Assine o Observador hoje, e tenha acesso ilimitado a todo o nosso conteúdo. Veja aqui as suas opções.

Atingiu o limite de artigos que pode oferecer

Já ofereceu artigos este mês.
A partir de 1 de poderá oferecer mais artigos aos seus amigos.

Aconteceu um erro

Por favor tente mais tarde.

Atenção

Para ler este artigo grátis, registe-se gratuitamente no Observador com o mesmo email com o qual recebeu esta oferta.

Caso já tenha uma conta, faça login aqui.