Lacónica e pouco dada a explicações. Continua a ser esta a postura da MC, a divisão de retalho da Sonae que detém o Continente. A empresa foi alvo de um ataque informático na madrugada da passada quarta-feira, que deixou inacessível o Continente Online e o Cartão Continente. Ao fim de seis dias, a normalidade ainda não foi reposta. Os clientes que tentam aceder ao site de um dos maiores supermercados do país continuam a deparar-se com a mensagem de que o “Continente Online está temporariamente indisponível”, e que a marca está “a trabalhar para resolver a situação o mais rapidamente possível”. A página da Wells também continua em baixo. O Cartão Continente ainda não pode ser usado nas lojas. Por compensação, a empresa começou a enviar aos clientes, por SMS, um código que permite obter descontos em compras.

Questionada sobre a evolução da situação, a MC respondeu esta segunda-feira com um comunicado. “A MC informa que os sistemas informáticos do Continente estão a ser progressivamente repostos após o ataque informático detetado a 30 de março. Mantemos, como sempre, a operacionalidade das lojas”, refere a empresa, sem adiantar previsões para a reposição completa dos serviços.

Lamentando os “constrangimentos causados”, a MC adianta que as equipas “estão a trabalhar 24 sobre 24 horas, em estreita articulação com o Centro Nacional de Cibersegurança, para retomar, com a máxima brevidade, a normalidade da atividade das lojas”. A MC acrescenta ainda estar “a trabalhar com as autoridades nacionais e internacionais para se identificar e punir os responsáveis por este ato criminoso”.

Ao Observador, fonte oficial da Comissão Nacional de Proteção de Dados (CNPD) confirma que “foi notificada quanto ao incidente de segurança em causa, nos termos do artigo 33.º do RGPD”, segundo o qual as empresas têm 72 horas para notificar a CNPD em caso de violação de dados pessoais.

Ataque à Sonae. O dia em que quatro milhões de clientes ficaram sem cartão Continente

Também o Centro Nacional de Cibersegurança já tinha confirmado estar a “prestar o apoio necessário” à empresa para “mitigar este incidente e prevenir ações futuras”.

O Observador contactou ainda a Europol, que rejeita comentar investigações em curso, “quer esteja ou não envolvida nelas”.

A verdade é que, nesta altura, são mais as incógnitas do que as certezas sobre o ataque à Sonae. Os especialistas contactados pelo Observador ajudam a perceber o que pode estar em causa. Desde logo, consideram que a falta de comunicação por parte da empresa é um indício “preocupante”.

Qual a dimensão do ataque?

“Terá sido certamente um ataque com alguma profundidade, pelo impacto que teve mas, principalmente, pelo tempo que está a ter de recuperação”, explica Bruno Castro, diretor-executivo da VisionWare, consultora de cibersegurança. Desde a madrugada da passada quarta-feira, 30 de março, que é impossível fazer compras na loja online do Continente, bem como usar o popular cartão que acumula saldo.

“A Sonae é a primeira a ter interesse em disponibilizar as coisas online, se ainda não estão é porque aconteceu algo de grave”, corrobora Ricardo Lafuente, vice-presidente da Associação Direitos Digitais D3.

Para Nuno Mateus-Coelho, professor universitário e especialista em cibersegurança, a demora na reposição dos sistemas pode querer dizer três coisas. “Primeiro, o ataque foi muito grave e houve perda de informação e estão a tentar repor tudo através de backups. Mas, mesmo sendo uma reposição de backup, é estranhamente demorada. O segundo cenário é: a fuga não foi assim tão grande mas eles têm de inspecionar a plataforma end-to-end, e isto é coisa para demorar mais de seis dias. Pode demorar duas semanas ou um mês. O terceiro cenário passa por ter havido uma fuga, a empresa não tem dados para repor e estão a tentar pôr de pé um sistema alternativo”. Este terceiro cenário foi o que foi levado a cabo aquando do ataque aos sites do grupo Impresa, em janeiro.

Na ótica do docente, o que aconteceu foi que os atacantes, cuja identidade é desconhecida, “foram pela ligação da loja do site, provavelmente através de um cross site scripting, ou de um SQL injection [técnica de injeção de código nas aplicações usada em ataques informáticos], qualquer coisa comprometeu o acesso ao site. E aquele site depois liga-se, pelas API (Application Programming Interface), ao sistema de faturação do Continente, ao sistema dos cartões Continente, e liga-se à Autoridade Tributária (AT) para a emissão das faturas”.  O que o especialista considera mais “preocupante”? “Nada disto teve esclarecimentos”.

O Continente está há seis dias em baixo. É normal?

Segundo os especialistas, pode ser. O tempo que está a demorar a reposição dos sistemas “é um bom barómetro para se perceber o impacto que o ataque teve a nível interno”, diz Bruno Castro.

“Não é anormal que se demore algum tempo a repor serviços, em casos de ransomware, porque isto envolve outro tipo de ataques colaterais, que são feitos noutros ativos, noutras áreas da infraestrutura. Eles estão a ter um tempo normal de recuperação para ações com maior profundidade. É normal demorar uma ou duas semanas a recuperar”, explica o mesmo especialista.

A justificação estará ligada a procedimentos de segurança internos, mais do que à dimensão da base de dados, considera Bruno Castro. “Não me parece que a demora seja devido ao elevado número de referências da loja, porque um processo de recuperação de dados é bastante rápido. Será mais pela componente forense. Primeiro, a empresa tem de definir o filme anterior ao ataque, fechar as portas que deram acesso a esse filme e higienizar os sistemas que foram comprometidos”, detalha.

“É preciso saber quem fez, quando fez e como fez, para que, quando os sistemas forem levantados, não haja novos ataques no espaço de poucas horas. É fundamental descobrir isso antes de colocar os sistemas novamente no ar, para que se corrijam as falhas que deram acesso ao ataque”, adianta.

Os dados dos clientes foram comprometidos?

Quase de certeza que sim, consideram os especialistas. Aliás, para Ricardo Lafuente, a obtenção de “uma base de dados gigantesca” terá sido, até, a motivação do ataque. “É um palpite, sem conhecimento de causa. A Sonae é um alvo gigantesco para quem quer obter dados. O mais preocupante é o facto de o Cartão Continente ter sido afetado e estar em baixo. O cartão é uma base gigantesca de dados pessoais mas também de dados comportamentais, sobre produtos que as pessoas adquirem, a um grau microscópico. Traça um retrato denso e detalhado sobre a vida das pessoas. Até houve uma campanha recente da própria Sonae sobre descontos personalizados. Este ataque é uma boa ilustração dos riscos inerentes à existência destas bases de dados”, defende o responsável da Associação Direitos Digitais D3.

A CNPD confirmou ao Observador que a MC notificou a entidade sobre “o incidente de segurança em causa”. Mas como recorda Nuno Mateus-Coelho, “no incidente, pode haver fuga de dados ou não fuga de dados”. A Sonae ainda não adiantou pormenores sobre esta matéria. Referiu apenas, ainda na quarta-feira, que, “no âmbito do ataque informático de que a MC foi alvo, a empresa assegura que, no que se refere ao Continente Pay, o Continente não tem qualquer acesso a dados bancários dos clientes. Essa informação é do domínio único e exclusivo da entidade financeira”. Mas o universo do Cartão Continente é mais vasto. De acordo com a própria MC, o cartão Continente tinha mais de quatro milhões de aderentes em 2021. Havia ainda cerca de 1,7 milhões de utilizadores da App Cartão Continente.

“Diria que é mais do que uma suspeita” que os dados foram comprometidos, “já ronda a certeza”, corrobora Bruno Castro. “O acesso a plataformas de compras online com esta violência, e tendo elas imensos dados pessoais, nomeadamente na componente de entregas ao domicílio, registo de utilizadores, notificações por telefone, até às próprias compras, torna quase impossível não terem sido comprometidos dados”, considera o responsável da VisionWare.

O que não diz a Sonae MC? E porquê?

“Silêncio ao fim de seis dias não é contenção de danos”, atira Nuno Mateus-Coelho. Desde o momento do ataque, a MC tem emitido comunicados com escassas linhas, dois deles semelhantes, confirmando a situação e “lamentando os constrangimentos” causados.

“As nossas equipas estão a trabalhar no sentido de averiguar a perturbação e repor, com a máxima brevidade, o normal funcionamento da atividade”, referia a primeira nota. “As nossas equipas estão a trabalhar 24 sobre 24 horas, em estreita articulação com o Centro Nacional de Cibersegurança, para retomar, com a máxima brevidade, a normalidade da atividade das lojas”, acrescentou posteriormente a marca, referindo estar a “trabalhar com as autoridades nacionais e internacionais para se identificar e punir os responsáveis por este ato criminoso”. A empresa não respondeu às questões colocadas pelo Observador.

Até ao momento, a empresa não revelou qual o tipo de ataque que sofreu, qual a sua extensão e danos provocados, nomeadamente em relação aos dados dos clientes. “Seria mais interessante ter uma comunicação mais ativa com os utilizadores da plataforma, até para não se levantarem dúvidas e preocupações, e medos, entre os clientes. Mas o atraso pode ter que ver com falta de informação sobre o que aconteceu. A empresa pode estar a fazer um compasso de espera por isso”, considera Bruno Castro.

Ricardo Lafuente tem uma posição menos benevolente. “O facto de não termos informação só indicia o pior. Precisamos que a Sonae diga se o é, ou não”, começa por alertar. Na visão do especialista, a falta de comunicação “é preocupante”. “Deveríamos contar com um esclarecimento rápido. O facto de não ter havido uma comunicação é um hábito que tem de mudar. Temos de ter transparência. Tem de ficar evidente o que aconteceu, os dados das pessoas são mais importantes do que a política de comunicação da empresa”, ressalva.

Um dos novos valores da empresa liderada por Cláudia Azevedo, intitulado “Fazemos o que está certo”, remete, precisamente, para esta prática. “Agimos de forma independente e transparente para tomar as decisões mais acertadas”, lê-se nos novos “mandamentos” que a empresa adotou este ano.

“Passaram seis dias e não se sabe se foram acedidos dados pessoais e dados de consumo, que são dados sobre os hábitos de vida das pessoas, ou se se perderam, porque a organização não comunica o que se passou aos seus clientes. É necessário, de forma cabal, vir dizer se nenhum dado foi comprometido com este ataque”, sublinha Nuno Mateus-Coelho.

E reforça porquê. “Não podemos esquecer-nos que a Sonae não é só o Continente. Tem muitas plataformas, como aquela do NorteShopping, que consegue seguir os clientes pela localização da placa de rede do telemóvel. Há muito em causa. O cartão do cliente é o ponto de ligação entre tudo e não há nenhuma comunicação sobre isto. Não é pelo saldo. É pelo profundo conhecimento dos hábitos das pessoas, e os tratamentos informáticos que são feitos sobre estes dados. Se eles sabem a pasta de dentes que eu uso, com certeza saberão algumas perguntas secretas de acesso ao meu email. É preocupante. Para haver silêncio ao fim de seis dias, boa coisa não é”.

Este ataque é semelhante aos anteriores?

Este é o quarto grande ataque em larga escala a uma grande empresa portuguesa desde o início do ano. A Impresa foi a primeira a sofrer com os hackers, no segundo dia de janeiro. Seguiu-se a Vodafone e os laboratórios Germano de Sousa. “Em primeiro lugar, isto mostra que ninguém está livre de um ataque destes. Existe o discurso deslumbrado da tecnologia e das vantagens do digital, mas normalmente deixa-se de parte os riscos que existem pelo simples facto de se criar uma base de dados”, aponta Ricardo Lafuente.

A VisionWare tem estado envolvida “em vários dos ataques violentíssimos” que têm atingido as empresas portuguesas, e o único ponto unificador que Bruno Castro vê nas investidas “é o sucesso dos ataques e o impacto violento” sobre grandes empresas. “É o ponto mais surpreendente, que nunca vi antes. Ataques sucessivos, ultraviolentos, com um enorme impacto sobre grandes empresas que, em teoria, têm níveis de maturidade de cibersegurança bastante elevado. Se estas empresas são atacadas com tanto sucesso, haverá muito mais alvos menos maduros e mais vulneráveis”, destaca.

Numa altura em que ainda não se conhece a origem nem a motivação do ataque, não resta senão especular. “Este ataque é condizente com a forma de operar do Lapsus Group”, afirma Nuno Mateus-Coelho, referindo-se ao grupo que reivindicou o ataque ao grupo Impresa, cujo líder foi identificado no Reino Unido. “Não podemos dizer que foram eles, mas não está fora do âmbito. É o grupo que está, neste momento, a perpetrar este tipo de ataques. Da mesma forma, não há evidências que tenha sido ransomware, e o Lapsus é o único grupo que ataca sem ransomware“, ou seja, um tipo de ataque que impossibilita o uso dos sistemas pelo proprietário, até que seja pago um resgate. Por outro lado, questiona o mesmo especialista, “se foi um ataque de ransomware, para onde se espalhou internamente, na Sonae, este ataque, para ao fim de seis dias não haver nada a funcionar?”.

Face à preocupação generalizada com o alastrar deste tipo de ataques, Ricardo Lafuente defende que deve ser lançado o debate, e tomadas as respetivas medidas ao nível da regulamentação, “sobre a responsabilidade das empresas e sobre se os mecanismos que temos para lidar com estas situações são adequados face ao potencial risco que existe”.

“Estamos a falar de legislação a sério, para termos algum descanso. Não podemos recolher dados sem ter também responsabilidade pelo uso indevido ou pela perda desses dados por negligência. Tem de haver um enquadramento para isto que, neste momento, não existe”, apela. Até porque ataques desta dimensão, defende, “vão ser o novo normal”.