Estar na mira dos “hackers” deixou de estar no campo dos cenários hipotéticos e passou a ser uma inevitabilidade para as empresas. A frase já era repetida em conferências de cibersegurança – “não é ‘se’ as empresas vão ser alvo de ataque, mas sim ‘quando’” – e 2022 continua a dar força à expressão. Cada vez mais as organizações comprovaram que não há mesmo quem consiga escapar a acessos indevidos e a possíveis violações de dados dos clientes.

Há setores mais apetecíveis do que outros, é certo – a banca é geralmente um dos mais interessantes para os hackers, muito pela motivação financeira. Mas nem só o dinheiro move quem ataca. “Alguns levam a cabo os ataques apenas ‘pela piada’”, diz John Shier, conselheiro sénior de segurança da Sophos. Já David Silva Ramalho, associado coordenador da Morais Leitão nas áreas de direito criminal, junta outro tema à lista de motivações – “a fama”.

“Existem casos que divergem, e em que há motivações revanchistas, clubísticas, políticas, religiosas, mas não representam a maior fatia destes ataques. Os ataques de ransomware, explica, “quando acompanhados de comunicação pública por parte dos atacantes, têm ainda o efeito reflexo de intimidarem vítimas futuras, para que, quando forem alvo de ataques semelhantes, se sintam mais tentadas a pagar o resgate do que a sofrer a repercussão pública da mediatização dos ataques e dos leaks sucessivos.”

As últimas semanas têm mostrado que, além da banca, há mais setores de atividade entre os alvos de quem ataca, seja através de grupos altamente organizados ou não. Tanto em Portugal como no estrangeiro, as últimas semanas têm sido repletas de notícias sobre incidentes de segurança em empresas. Por cá, foi notícia o ataque informático à companhia aérea TAP, ainda no final de agosto, enquanto no panorama internacional o destaque foi para a intrusão nos sistemas de empresas como a Uber ou ainda o acesso indevido à fintech Revolut. Há ainda outro incidente digno de registo – o acesso aos sistemas do estúdio de videojogos Rockstar Games. O resultado? Um lote de quase uma centena de imagens e vídeos de um jogo em desenvolvimento, o “GTA VI”, um título bastante antecipado, a circular pelas redes sociais.

E, com estes episódios, que ao que se sabe até agora terão sido levados a cabo de diferentes maneiras e com efeitos bastante distintos, a primeira pergunta costuma ser sempre a mesma: o que acontece aos dados dos clientes?

Que consequências podem ter os clientes após uma violação de dados?

Dependendo do tipo de ataque – e da informação que foi comprometida – os clientes podem enfrentar diferentes consequências, tanto no mundo digital como, em alguns casos, fisicamente. Uma das possibilidades mais fortes passa, neste momento, pelos ataques de phishing (em que quem ataca finge ser outra entidade para conseguir aceder a dados ou tirar proveito financeiro). Os especialistas referem que este tipo de ataque poderá ser um dos mais usados, dada a eficácia e o “custo muito baixo” de perpetuar esquemas deste género. “E mesmo que haja baixa penetração do público-alvo, vai sempre ter um efeito”, lembra Luís Martins, da Cipher, a divisão de segurança da Prosegur.

Rui Duro, responsável da Check Point em Portugal, lembra que “as consequências podem ser muito graves, dependendo do tipo de dados a que os hackers tenham tido acesso”. Os exemplos vão desde o “roubo de identidade à usurpação das contas que os clientes tenham, ou mesmo à possibilidade de utilização dos dados pessoais para cometer outros tipos de crime”.

Afinal, o acesso a possíveis documentos de identificação e “de outra informação mais reservada aumenta o risco de exposição a novos crimes”, como burla, lembra David Silva Ramalho. “Mas permite também que os atacantes tomem conhecimento de informação relevante que permita dirigir ataques de spear phishing, ou seja, de phishing direccionado e personalizado.” Afinal, se os atacantes souberem dados pessoais do destinatário, como é o caso do número de identificação fiscal (NIF), data de nascimento ou outras informações, “é mais fácil fazerem-se passar por um interlocutor credível – de um banco, uma seguradora, uma loja – e levar a vítima a fazer pagamentos que não são devidos”, diz o advogado da Morais Leitão.

Nas comunicações feitas pelas empresas alvo de ataques informáticos, tem sido transmitido aos clientes que estejam especialmente atentos a comunicações suspeitas nos próximos tempos. “Alguém vai aproveitar estas listas para enviar spam, conteúdos maliciosos”, reconhece Hugo Nunes, responsável da equipa de intelligence da S21sec, mas também existe a possibilidade de um “aspeto de risco físico” nestes incidentes de segurança.

Na empresa de cibersegurança já andam a ser analisados os dados que constam no “leak” de informação de clientes da TAP, por exemplo. “Nem todos os clientes têm lá a morada, mas em alguns casos podemos quase pôr em causa risco físico para a pessoa”, lembra este especialista. Hugo Nunes não especifica nomes, mas refere a possibilidade de haver “funcionários públicos ou até políticos” nesta lista. A expressão usada é clientes “mediáticos”, com o responsável da S21sec a referir que já foram encontrados “dados de funcionários e até de membros do ‘board’ de clubes de futebol”. “No caso de pessoas mais aficionadas do futebol, essa informação poderá ser usada”, elucida Hugo Nunes. Neste momento, a empresa está a analisar a lista “a olhar mais para Portugal, mas também há dados de clientes internacionais” na base de dados divulgada pelos “hackers”.

O semanário Expresso avançou esta sexta-feira alguns dos nomes de políticos que viram os dados divulgados na deep web. Constarão desta lista os dados pessoais de António Costa, do diretor do Serviço de Informações de Segurança (SIS), Adélio Neiva da Cruz, do comandante-geral da GNR, Rui Clero, ou ainda de André Ventura, o líder do partido Chega. Também terão sido encontrados dados de deputados e de funcionários públicos. Já o Público avançou que também os dados de Marcelo Rebelo de Sousa constam desta base de dados – algo que foi confirmado pela Presidência da República.

TAP: António Costa, André Ventura e chefe do SIS com dados expostos em ciberataque

Que medidas mais práticas podem adotar os clientes afetados?

Hugo Nunes, da S21sec, sublinha que é importante as “pessoas terem a consciência constante de que a qualquer momento podem ser vítimas de algum tipo de burla” após os avisos de dados pessoais comprometidos num data breach. Para o responsável desta companhia, é quase como a ideia de “chegar ao carro e colocar o cinto de segurança”. “São medidas que necessitamos melhorar para diminuir o nosso risco de sofrer ataques”, vinca.

Não há soluções infalíveis para evitar estar exposto – e Hugo Nunes reconhece que é da “natureza humana” estar uns dias mais alerta a esta questão e depois relaxar as defesas à medida que o tempo passa. Mas há algumas questões para permitir reduzir a dimensão da superfície de ataque – as “brechas” que permitem estar ou não mais sujeito a ataques ou esquemas.

Embora reconheça que, nestes ataques informáticos mais recentes, “não há nada que [o cliente] conseguisse fazer para precaver” a exposição dos dados, há outras medidas que os clientes podem tentar reforçar. Além da atenção redobrada a mensagens ou emails suspeitos que possam chegar nos próximos tempos, o responsável da S21sec realça a importância de ter uma boa higiene informática. “Ter sempre passwords distintas para cada site” é um dos exemplos. “Se me comprometerem os dados sei que só vão ter acesso àquele site”.

Uma solução de gestor de palavras-passe – há vários serviços disponíveis no mercado, alguns incluídos até no próprio navegador – pode ser uma solução. Mas é esta uma solução totalmente segura? Hugo Nunes prefere dizer que “é um mal necessário.” “É impossível saber todas as passwords. Mais vale usar um gestor de passwords do que apontar num papel ou ter sempre a mesma palavra-passe. É a única forma que temos – adicionando sempre que possível um segundo fator de autenticação.”

Este tipo de solução, da autenticação multi-factor, é cada vez mais usada. Quando está ativa, implica que, além do conjunto de email e palavra-passe, seja ainda preciso mais um fator para poder usar o serviço. Há a opção de escolher o envio de um código para o telemóvel, que só fica válido durante alguns minutos, ou de responder a uma pergunta de segurança, por exemplo. Na vertente financeira, “em vez de usar cartão de crédito pode-se usar cartões de MB Way ou cartões descartáveis”.

“É um grande desafio para as pessoas”, reconhece este responsável da S21sec, porque é “mudar um procedimento das pessoas” e “um pequeno extra de segurança que não é imediato”. Mas qualquer uma destas tentativas é “uma barreira” no caminho dos cibercriminosos”, que estão sempre à “procura do meio mais fácil”.

Além de atenção redobrada e do reforço das palavras-passe, desde esta sexta-feira, 23 de setembro, que já é possível verificar no site Have I Been Pwned se se está incluído no lote de clientes da TAP cujos dados foram expostos. Através do email ou do número de telefone, o site verifica as violações de dados mais recentes e compara se os dados inseridos foram comprometidos ou não.

Há algum recurso legal que proteja os clientes que têm dados comprometidos?

A legislação para proteger os dados pessoais e a privacidade já existia, mas desde que o Regulamento Geral de Proteção de Dados (RGPD) entrou em cena na União Europeia, em maio de 2018, que houve uma uniformização das regras nos vários Estados-membros. À luz deste regulamento, existem algumas regras que garantem proteção aos cidadãos caso exista uma violação de dados, também conhecida por data breach.

Elsa Veloso, fundadora e CEO da DPO Consulting e advogada especializada na área da proteção de dados e privacidade, relembra que sempre que existe uma violação de dados há artigos específicos a proteger os titulares dos dados – neste caso os clientes. “Estando perante uma violação de dados, temos o artigo 33.º, que obriga a entidade cujos dados foram violados a uma comunicação à autoridade de controlo competente”. Neste caso, a entidade responsável pelo tratamento são as empresas a quem os clientes dão a autorização expressa para tratar os dados, que têm de especificar para que fins querem essa informação. E, além da comunicação à autoridade de controlo competente – em Portugal a Comissão Nacional de Proteção de Dados (CNPD) – “têm de também fazer uma comunicação ao titular dos dados”. Nesta lógica, “o titular dos dados tem o direito de receber da TAP, da Revolut, da Uber ou de outra entidade de tratamento de dados” informação sobre o sucedido.

É esta a regra que está inscrita no artigo 34.º, que dita as diretrizes para que seja feita a comunicação de uma violação de dados pessoais aos titulares dos dados. “O prazo é o equivalente ao da comunicação à CNPD, que são 72 horas”, explica Elsa Veloso. A legislação é clara: a comunicação deve ser feita em linguagem clara e simples e “tem de fornecer as informações e medidas previstas para o combate a esta violação de dados”, diz Elsa Veloso.

Ricardo Henriques, sócio da Abreu Advogados, lembra que as “coimas aplicadas em sede do RGPD podem ascender a valores astronómicos”, em função da “gravidade do sucedido e de qual terá sido a infração cometida. Mas ser alvo de um ataque informático onde foram comprometidos dados pessoais não é necessariamente sinónimo de que tenha de ser aplicada uma coima, lembra David Silva Ramalho, da Morais Leitão. “A imputação de contraordenações às empresas não ocorre pela mera verificação de um ataque informático ou de uma violação de dados.” Se isso acontecesse, “não só se puniria duplamente a empresa que é vítima de um ataque informático, aplicando-lhe uma coima após o crime, mas também se premiaria o atacante, já que criaria um incentivo para que a empresa pagasse o resgate, de modo a evitar ter de pagar à CNPD”, elucida este advogado.

“Portanto, para haver uma infracção é necessário que a violação de dados se tenha devido a uma especial incúria ou desadequação do sistema informático para proteger a informação armazenada, sendo que a adequação se medirá também em função do grau de sensibilidade da informação protegida”, explica David Silva Ramalho.

Ricardo Henriques, sócio da Abreu Advogados, explica que, caso se confirme a existência de algum dos fatores que dita a aplicação de uma coima, “o valor a pagar dependerá dos fatores elencados” no artigo 83.º do RGPD. “Para além da perda de boa reputação já mencionada, sendo as respetivas empresas responsabilizadas ao abrigo do RGPD, a título de coima, poderão ter igualmente a obrigação de indemnizar os titulares de dados pelos danos causados, nos termos do artigo 82.º do regulamento. Apenas não o serão se provarem não ser de algum modo responsáveis pelo evento que deu origem aos danos.”

Os titulares dos dados “não perdem os seus direitos de acesso, retificação, cancelamento e oposição” no tema da proteção de dados, lembra Elsa Veloso, e têm também o “direito à informação”, algo que está inscrito no artigo 13.º. “Têm direito a saber que dados deles é que foram efetivamente usados.”

“Os titulares têm o direito de obter informação sobre o que aconteceu aos seus dados. Para o efeito deverão contactar o encarregado de protecção de dados da entidade atacada”, também esclarece David Silva Ramalho, lembrando que estes pedidos podem ser feitos através de um eventual “contacto geral ou, quando seja o caso, para as linhas de contacto criadas para o efeito.”

A CEO da DPO Consulting lembra ainda outro tema – a possibilidade de os clientes afetados poderem associar-se, através das chamadas associações coletivas (em inglês, as class actions). Esta informação consta, aliás, do artigo 80.º do regulamento europeu, onde é determinada a representação dos titulares de dados. “Podemos fazer essas associações e exercer esses direitos”, explica Elsa Veloso, reforçando que os “titulares dos dados têm direito de indemnização devido aos riscos a que estão sujeitos”.

“Um cliente afetado por tal violação de dados pessoais terá direito a ser indemnizado por todos os danos que lhe tenham sido causados, nos termos do artigo 82.º do RGPD”, lembra Ricardo Henriques, da Abreu Advogados. “Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos”, é possível ler no artigo em causa.

Comunicação das empresas tem sido “bastante lacónica”

Elsa Veloso, CEO e fundadora da DPO Consulting, aponta algumas falhas à comunicação ao público que tem sido feita pelas empresas nos episódios mais recentes de data breaches. “A comunicação é bastante lacónica”, aponta Elsa Veloso, referindo que “parece que todas [as empresas] têm o mesmo comunicado.” “Estão a trabalhar com as autoridades, já comunicaram às entidades, estão a investigar e partilham informação assim que houver novidades”, enumera a advogada e fundadora da DPO Consulting.

“Não há variação entre as várias comunicações” Na ótica desta especialista em temas de proteção de dados, o facto de as respostas e declarações das empresas terem informação mais geral e poucos pormenores poderá justificar em parte a razão para as “pessoas não estarem a perguntar [pelos dados], porque a resposta vai ser lacónica”. “Acho que as empresas cada vez mais têm consciência de que [os clientes] não querem voltar a usar uma empresa que tenha sido alvo de uma violação de dados”, nota Elsa Veloso.

Já Rui Duro, responsável da Check Point em Portugal, refere que a complexidade associada a um ataque informático, independentemente do tipo, torna mais difícil para as empresas a tarefa de comunicar com os clientes afetados por uma violação de dados. “Sejamos muito claros, qualquer tipo de ataque informático desta natureza é sempre muito mais complexo do que possamos imaginar, o que significa que não é fácil logo numa primeira abordagem ou na deteção do problema indicar a extensão do mesmo”, contextualiza o responsável desta empresa de soluções de segurança informática. “Isto enviesa de imediato qualquer tipo de comunicação que se queira ou que se tente fazer com os clientes, a quem as marcas querem ser as mais claras e esclarecedoras.”

Ainda assim, Rui Duro reconhece que, “o tempo, nestas situações, ganha duas dimensões totalmente diferentes, numa os clientes querem ser esclarecidos de imediato, noutra as marcas procuram perceber a extensão da brecha de segurança”. E isso tem um tempo próprio e pode demorar dias ou mesmo semanas a apurar corretamente e debelar o problema.

Luís Martins, diretor da Cipher, a divisão de cibersegurança da Prosegur, também reconhece a complexidade da comunicação após um ataque. “Até percebo, porque é difícil ter rapidamente informação sobre o que aconteceu – por onde é que entrou o hacker, como foi feita a exfiltração de dados.” Mas nota que também é necessário haver, da parte das empresas, uma “preparação para a comunicação” e também para a continuidade após um ataque. “Os ataques vão continuar e vão ser mais frequentes”, diz este especialista. “Tem de haver uma aposta muito grande nesta área da ciberresiliência”, ou seja a capacidade de “recuperar no mais curto espaço de tempo o negócio” após um ataque e “desenvolver esforços para perceber o que é que aconteceu”.

O diretor da Cipher lembra que, não só é necessário ter em prática planos de contingência, mas também ter forma de perceber “como é que entraram, como aconteceu e quais os passos que os atacantes deram”. “É uma análise que tem os seus passos e que leva bastante tempo”, mas que é necessária para continuar a operar. Caso isso não aconteça, corre-se “o risco de achar que se resolveu o problema” e de a intrusão de hackers ter aberto mais brechas na defesa.

O que se sabe até agora sobre estes ataques?

No caso do ataque informático à TAP, detetado no final de agosto, é já conhecido que foram comprometidos dados de clientes. A empresa começou no início de setembro a alertar os clientes afetados mas esta semana, após o Expresso avançar que estavam a circular dados de 1,5 milhões de clientes  na deep web (área onde há “um acesso privilegiado em que é preciso autenticação para alguns conteúdos, é necessário fazer login para ter acesso a mais informação”, explica Luís Martins, da Cipher), a empresa fez uma comunicação pública, onde relatou que tinham sido expostos dados como “nome, nacionalidade, sexo, data de nascimento, morada, e-mail, contacto telefónico, data de registo de cliente e número de passageiro frequente”, mas especificando que não encontrou indícios de que dados de pagamento tenham sido retirados dos sistemas da TAP.

“Dirigia-se a nós mas também vos atingiu a vocês, os nossos clientes”, diz CEO da TAP. Companhia partilha mais informação sobre ciberataque

No ataque à fintech Revolut, a empresa anunciou que foram comprometidos os dados de “0,16% dos clientes durante um curto período de tempo” de um total de clientes que se aproxima dos 20 milhões de utilizadores – a percentagem seria o equivalente a 32 mil clientes. No entanto, a notificação feita pela empresa à entidade de proteção de dados da Lituânia, onde a companhia tem licença, apontou para um número mais elevado, na ordem de 50 mil.

Questionada sobre se existem utilizadores portugueses entre os clientes afetados, fonte da empresa diz ao Observador que não está a disponibilizar especificações por país, mas que pode confirmar que “quaisquer clientes impactados já foram contactados”. A empresa especificou, desde o primeiro comunicado, que “não foram acedidos ou roubados fundos” dos utilizadores do serviço. “O dinheiro dos nossos clientes está seguro – tal como tem estado sempre.”

O caso da Uber terá sido ligeiramente diferente. Foi o alegado “hacker” que conseguiu aceder aos sistemas internos da plataforma de mobilidade quem partilhou informação com o jornal New York Times e com empresas de cibersegurança. A empresa transmitiu ao público na atualização mais recente, feita a 19 de setembro, que não encontrou indícios de que o atacante tenha acedido a “contas de utilizadores ou a bases de dados que são usadas para armazenar informação sensível dos utilizadores, como números de cartão de crédito, informação bancária dos utilizadores ou histórico de viagens”.

David Silva Ramalho, associado coordenador da Morais Leitão na área de direito criminal, realça que os casos mais recentes reforçam que é importante “desmistificar que não há sistemas de cibersegurança imunes a ataques”. “Há sistemas melhores que outros, claro, mas todos são falíveis.” “Em segundo lugar, existe um número muito significativo de ataques informáticos a ocorrer a todo e qualquer momento. No entanto, são os ataques a estas entidades, precisamente pela sua dimensão, reputação e importância no comércio nacional e internacional, que recebem mais atenção do público e da comunicação social”, continua.

“A evolução tecnológica e a criminalidade associada à mesma não param, na dark web não existem domingos nem feriados”, lembra Simão de Sant’Ana, sócio contratado da Abreu Advogados. E, “tendo em consideração o crescente volume de dados que todos os dias empresas” como estas movimentam, “é necessário um esforço contínuo de adaptação e um aperfeiçoamento diário dos sistemas de cibersegurança”.

Este advogado nota que “os dias em que as empresas realizavam uma auditoria aos seus sistemas informáticos, introduziam as medidas corretivas detetadas como necessárias e não voltavam mais a pensar no assunto” ficaram lá atrás. “Só com investimentos contínuos em cibersegurança é que se diminuirão os riscos e/ou as consequências de potenciais ataques cibernautas e, mesmo assim, não será possível garantir a 100% a segurança dos sistemas – tal é virtualmente impossível.”

Este advogado lembra que “os atacantes adaptam o seu grau de sofisticação e de investimento ao grau de sofisticação do sistema informático das entidades atacadas e ao retorno (patrimonial ou simplesmente reputacional no mundo hacker) que esperam poder obter com os seus crimes”. Desta forma, “o que leva a que estas entidades continuem a ser afetadas por ataques informáticos, é precisamente o facto de serem ‘estas entidades’ e de isso, na óptica de quem pratica o crime, justificar um investimento de dias ou meses a tentar descobrir falhas de segurança.”

Já do lado das empresas de cibersegurança, companhias como a Sophos, a Check Point, a S21sec ou a Cipher, lembram que embora possam existir picos de atividade específicos, os ataques das últimas semanas não querem necessariamente dizer que os ataques estejam a existir mais agora do que há uns anos. “Os ataques ocorrem com regularidade ao longo de todo o ano”, lembra John Shier, conselheiro sénior de segurança da Sophos.

Uber a investigar incidente de cibersegurança. Falha afetou sistemas de comunicação e engenharia