Índice
Índice
De repente, o silêncio. Chamadas deixaram de funcionar, mensagens deixaram de ser enviadas e não era possível aceder à internet através de dados móveis. Consequentemente, o caos, a dúvida e a esperança de que tudo seja resolvido rapidamente. O ataque à Vodafone Portugal parou parte do país. Em 9 perguntas, resumimos o que se sabe sobre um novo ataque informático que pôs a palavra cibersegurança na boca do portugueses.
Vodafone. Tudo o que parou no país ou está com problemas devido ao ataque
O que é que aconteceu?
Os clientes da Vodafone Portugal começaram a sentir limitações nos serviços às 21h00 de segunda-feira. Pouco tempo depois, pelas 22h00, a empresa revelou que estava “a trabalhar para identificar e solucionar os problemas técnicos que afetam a sua rede, essencialmente os serviços de telecomunicações móveis, mas também com potencial impacto no serviço de televisão”. Poucas horas depois, já depois da meia-noite, a Vodafone acrescentava que tinha havido “recuperação progressiva dos serviços de voz móvel a partir das 22h, embora se continuem a verificar algumas perturbações nas ligações com destino a outros operadores”. Eram quase 8h00 quando a empresa faz o anúncio que assustou o país: “Vodafone Portugal alvo de ciberataque”.
Telefones sem funcionar, rede móvel inacessível e muitos clientes insatisfeitos. Foi numa conferência de imprensa convocada de emergência para o final da manhã desta terça-feira, às 11h45, que Mário Vaz, presidente executivo da empresa em Portugal, deu mais explicações sobre a “interrupção abrupta” dos serviços da operadora. Por outras palavras, contou como é que de um momento para o outro os serviços de telecomunicações móveis e fixas da empresa — internet, telefone e televisão — ficaram limitados ou sem funcionar.
Durante esta terça-feira alguns dos serviços que a Vodafone Portugal disponibiliza retomaram o funcionamento, mas com bastantes limitações — o que depende do serviço de rede fixa da operadora estará operacional (internet e televisão doméstica), e o que depende das redes móveis (2G, 3G, 4G e 5G) continua a registar perturbações. Na quarta-feira de manhã os serviços de telefone, televisão e internet continuavam afetados, com portal Downdetector, que monitoriza problemas e falhas de serviços online, a dar conta de de um ressurgimento das queixas, depois de uma acalmia durante a madrugada.
O que é que a Vodafone disse sobre o ataque?
A Vodafone começou por pedir desculpas aos seus clientes particulares e empresariais. Depois, tentou acautelar receios. “Apesar de a investigação ainda estar a decorrer, reforço que não temos, até este momento, indícios de que os dados dos nossos clientes tenham sido acedidos e/ou comprometidos”, disse Mário Vaz. Ou seja, segundo a operadora, não terá sido roubada informação pessoal. Mesmo assim, o que aconteceu terá sido grave. Horas mais tarde, o presidente executivo da empresa assumia no LinkedIn: “Houve a destruição intencional de vários elementos centrais das nossas redes, incluindo nos sistemas redundantes que temos preparados para ativar numa situação de falha de rede”.
Por norma, num ciberataque, é normal as empresas não avançarem muitos dados enquanto não conseguem repor os sistemas. Seja por estar uma investigação a decorrer ou por a própria entidade não saber tudo o que aconteceu. Só após algum tempo é que se sabem os danos, e isto é quando tal é revelado. Apesar das atualizações ao longo do dia, a empresa não especificou que sistemas foram comprometidos para continuar a ter problemas nos serviços.
A Vodafone é uma empresa britânica e está noutros países como em Espanha. Lá fora, também não há serviço?
Como disse Mário Vaz, o ataque foi feito à Vodafone Portugal. Noutros países, como o Reino Unido, onde é a sede do Vodafone Group, os serviços não foram afetados. Houve pequenas disrupções num serviço específico de VPN (Data VPN em cima da rede de dados), que depende de uma equipa em Portugal, como referiu o executivo, mas sem danos que sequer se comparem ao que está a acontecer no país.
O Observador tentou contactar o Vodafone Group para saber mais informações relativamente a eventuais danos causados a outras sucursais, não tendo obtido resposta até à publicação deste artigo.
Ao que o Observador apurou os centros internacionais de segurança do grupo que estão em Portugal continuaram operacionais. As equipas a trabalhar para clientes nacionais é que terão tido dificuldades nos acessos. Já as restantes continuaram a prestar o serviço aos outros países.
Que repercussões é que o ataque está a ter?
Se o ataque ao grupo Impresa (SIC, Opto, Expresso) no início de janeiro teve grandes repercussões — ainda hoje a empresa conta com sites provisórios –, um ataque à Vodafone foi mais disruptivo para o país. Chamadas telefónicas, envio de mensagens escritas (SMS) ou acesso a dados móveis foram alguns dos serviços que deixaram de estar disponíveis para os quatro milhões de clientes que a empresa tem no país. Além disso, sendo a Vodafone um dos principais operadores em Portugal, outras entidades — caso do INEM, corporações de Bombeiros, ou entidades de saúde como o Centro Hospitalar Universitário do Porto — tiveram problemas. “Estamos a falar especificamente de um crime informático de que a operadora de telecomunicações foi vítima”, não tendo sido outras entidades o alvo, segundo o responsável da unidade de cibercrime da Polícia Judiciária, Carlos Cabreiro, admitindo problemas para os clientes da Vodafone.
Até agora, como foi referido por Mário Vaz na conferência de imprensa, não é possível calcular o dano dos estragos que poderá ter acontecido — tanto que a empresa assume que ainda está “focada” em resolver o problema, não tendo chegado ainda a essa fase do processo. Porém, não é preciso fazer muitas contas para presumir que os danos provocados por uma disrupção a redes móveis possam ser elevados.
No caso da SIBS — que gere a rede multibanco — houve serviços que foram rapidamente repostos. Noutras situações, como afirmou a operadora esta tarde, mesmo com parte das telecomunicações de novo disponíveis, o serviço continua “sujeito a algumas limitações no que respeita à velocidade máxima permitida de forma a garantir uma melhor monitorização da utilização da rede”. Por outras palavras, mesmo que consiga aceder a dados móveis ou fazer chamadas, terá limitações. Consequentemente, todas as empresas e serviços que dependam de telecomunicações também terão.
Vodafone. Tudo o que parou no país ou está com problemas devido ao ataque
O que é que está a ser feito para repor o serviço?
“Colocámos de imediato em ação o nosso gabinete de crise e o serviço de voz foi o primeiro que recuperámos”, explicou Mário Vaz esta terça-feira. Depois, a “prioridade número dois foi recuperar um serviço mínimo de dados móveis da rede 3G”.
Durante o dia, enquanto os clientes não podiam fazer algo tão simples como uma chamada telefónica, a Vodafone foi prometendo que iria restabelecer as redes móveis progressivamente. Inicialmente, a operadora dava como prazo a tarde deste dia. Não tendo conseguido cumprir essa meta, afirmou que “através do trabalho incessante das suas equipas técnicas” está a “tentar restabelecer o mais depressa possível os serviços que involuntariamente” deixou de prestar. Até à publicação deste artigo os serviços móveis de chamadas da empresa continuavam limitados.
Que meios e entidades foram acionadas e estão a colaborar no caso com a Vodafone?
“A dimensão e gravidade do ato criminoso a que fomos sujeitos implica para todos os demais serviços um cuidadoso e prolongado trabalho de recuperação que envolve múltiplas equipas nacionais, internacionais e parceiros externos”, disse Mário Vaz. Além disso, a operadora está a trabalhar com o Centro Nacional de Cibersegurança, com a Unidade de Combate ao Cibercrime (que usa as siglas UNC3T) da Polícia Judiciária (PJ), com a Autoridade Nacional de Comunicações (Anacom) e com os Serviços de Segurança Interna (vulgo, as “secretas”). A PJ está também a trabalhar com “parceiros internacionais”.
Investigação ao ciberataque à Vodafone. PJ está a trabalhar com as Secretas
A empresa “reportou a situação” à Anacom que “fez o respetivo acompanhamento”, disse fonte do regulador ao Observador. “Quando estiver resolvida a Vodafone tem de reportar o fim do incidente”, adiantou e entidade.
A Vodafone adiantou também na terça-feira que tem recebido a disponibilização de colaboração dos principais concorrentes em Portugal — a Nos e a Altice.
Quanto aos fornecedores da empresa, não foram avançadas informações. O Observador contactou uma dessas entidades, a Ericsson, que disponibiliza equipamentos e serviços para a operadora, mas a empresa não quis prestar comentários sobre o caso.
Vodafone notifica CNPD de violação de dados pessoais. Operadora diz que não são dados de clientes
Esta quarta-feira, a Comissão Nacional de Proteção de Dados (CNPD) disse em resposta ao Observador que a Vodafone fez uma notificação de violação de dados pessoais ao abrigo do artigo 33° do Regulamento Geral sobre a Proteção de Dados (RGPD). Segundo esta lei, a partir do momento em que tem conhecimento e caso exista violação de dados pessoais, uma empresa tem um prazo de 72 horas para alertar as entidades competentes de cada estado-membro — neste caso é a CNPD.
O que é que falta saber e a Vodafone não diz?
Uma das principais questões é prática: quando é que os serviços vão ficar novamente operacionais? Apesar de a Vodafone afirmar que tem estado a trabalhar incessantemente na recuperação dos sistemas, não há um prazo concreto para os serviços voltarem à normalidade. Ou seja, os clientes continuam sem saber quando é que poderão fazer algo tão simples como uma chamada telefónica, sem limitações ou interrupções.
Polícia Judiciária pediu cooperação internacional na investigação ao ataque informático à Vodafone
Ao que o Observador apurou, este é um dos trabalhos mais complicados que a operadora tem em mãos. Apesar de pedirem sempre para não serem citados devido a possíveis ligações com a empresa, os engenheiros informáticos contactados referiram todos o mesmo: a “complexidade” deste ataque implicará desligar sistemas que podem não ter sido comprometidos. Esse é um ato que não passa só por carregar num botão e voltar a premi-lo. É um processo mais moroso que implica também ver elemento a elemento se um sistema está ou não vulnerável.
Há também outras questões importantes que ainda não foram respondidas, a começar por uma das afirmações de Mário Vaz: “Não temos, até este momento, indícios de que os dados dos nossos clientes tenham sido acedidos e/ou comprometidos”. Na noite de terça-feira, o inspetor Carlos Cabreiro, responsável pela Unidade de Combate ao Cibercrime (que usa as siglas UNC3T) da Polícia Judiciária (PJ), voltou a pôr este ponto em cima da mesa ao dizer que esta entidade está ainda a “apurar se alguma informação pode ter sido exposta ao exterior das instituições”.
Depois, ainda não referimos uma das perguntas do que pode ser a chave do jogo de Cluedo que a PJ está a jogar: quem é o culpado? Ao longo desta terça-feira têm sido levantadas todo o tipo de hipóteses. Foi um ataque de um Estado? Foi simplesmente um pirata informático amador? Fui um grupo especializado contratado para este efeito? Foi negligência da Vodafone? Além disso, mesmo podendo vir a saber-se quem está por detrás deste ato, há outra questão relevante: que motivação é que teve?
Uma vez que não foi, até ao momento, pedido qualquer resgate, a Polícia Judiciária coloca todas as hipóteses em cima da mesa e só com a investigação, que está ainda em fase inicial, será possível perceber “se o autor tinha uma motivação pessoal, se tinha uma motivação relacionada com o seu ego, com eventuais ideologias, se eventualmente estava ou vai estar à espera de algum benefício patrimonial, ou mesmo se se trata de uma atuação em grupo”.
O grupo Lapsu$ Group, responsável pelo ataque informático ao grupo Impresa, publicou na sua conta do Telegram a palavra “Vodafone”, seguindo-se um emoji a indicar que estão a observar o que está a acontecer em Portugal, mas não reivindicou o ciberataque à Vodafone, avança o Expresso.
O que é que pode ter acontecido?
Sem ter conhecimento real do que aconteceu e a extensão dos ataques na Vodafone, Paulo Cardoso do Amaral tem a leitura de que os criminosos podem ter ido ao sistema de gestão da rede que associa a informação dos clientes ao serviço prestado. Um sistema que pode ter sido afetado, mesmo que a rede funcione, mas que dificulta a entrega dos serviços, já que a Vodafone pode ter ficado sem a informação do que cada cliente contratou.
O especialista não vê, no que se conhece publicamente do ataque — que é pouco —, as características de um crime de negação de serviço (DDoS), mas sim, reforça, de ataque ao sistema de gestão de clientes que afeta os serviços, com ataque também aos backups, se levarmos em conta que a Vodafone assumiu que o ciberataque “se traduziu na destruição intencional de vários elementos centrais das nossas redes, incluindo nos sistemas redundantes”. Daqui retira-se que uns clientes possam ter alguns serviços que outros não têm e vice versa. “É uma leitura”, diz ao Observador o professor especializado em operações, sistemas de informação e ciência dos dados.
Outros informáticos ligados ao processo e de empresas concorrentes adiantaram esta e outra tese. Porém, uma reação é comum: surpresa e dúvida. Ao contrário de outros ciberataques, como o da Impresa, devido à magnitude desta situação, ninguém adianta mais hipóteses por não terem conhecimentos de situações com este impacto.
Estes ataques são comuns?
Ao Observador, Pedro Adão, professor de engenharia informática no Instituto Superior Técnico, explica que “cada vez mais as infraestruturas críticas estão ligadas à internet”. “Qualquer dispositivo que esteja ligado à internet pode ser vítima de um ciberataque”, adianta. Mesmo assim, apesar de serem comuns, este tipo de ataques “não acontecem todos os dias”. Sendo um mundo cada vez mais ligado, o engenheiro informático diz que não fica surpreendido por o número de ataques estar a aumentar.
Já Manuel Dias, diretor de tecnologia da Microsoft Portugal, diz que esta tecnológica está “preocupada” com este tipo de situações. “Vimos este tipo de ataque e de sofisticação dos mesmos cada vez mais nos últimos anos”, referiu o especialista dizendo que a Microsoft “monitoriza” estes ataques à escala global, adiantando que “não é um problema só de Portugal”. “Estamos todos vulneráveis”, afirmou.
“Nenhuma empresa, por muito investimento que faça, pode garantir que não será atacada”
Pedro Adrão especifica que “estamos a falar de um ecossistema”. Ou seja, por estar tudo ligado, este tipo de ataques como o que parou a Vodafone pode nem ser às próprias operadoras. O pior? Apesar de haver precauções que se podem sempre ter (como cuidado com palavras-passe e manter os softwares atualizados), “não há muito que o cidadão comum possa fazer aqui”. “O defensor [empresa ou utilizador] tem de defender todas as entradas de um castelo”, exemplifica.
Ao Observador, a Microsoft afirmou que, nos últimos dois anos, registou um volume maior de tentativas de ataques. Antes disso, até 2020, como revelou a Anacom no relatório anual de violações de segurança e perdas de integridade, os números eram diferentes: de todos os incidentes notificados à reguladora entre 2015 e 2020, apenas 8% eram referentes a ataques maliciosos. Só no ano de 2020? Apenas 3%.
*Artigo atualizado às 14h55 de 9 de fevereiro com informação da notificação à CNPD.