No dia das eleições legislativas, a 30 de janeiro, o site do Parlamento ficou subitamente inacessível. Na altura, o gabinete do secretário-geral da Assembleia da República fez referências a um “alegado ataque” ao sistema informático que, durante alguns dias, impediu a utilização do site da Assembleia. Mas o Observador sabe que esse “apagão” foi, na verdade, uma medida preventiva contra um verdadeiro ataque. O site esteve em baixo porque os serviços do Parlamento foram alertados para a partilha de “credenciais administrativas” na dark web.
O aviso surgiu no próprio dia das eleições. “A Assembleia da República foi alertada pelas autoridades nacionais competentes” de que estavam a circular “credenciais administrativas” na internet — a partilha indevida terá sido detetada pela Polícia Judiciária ou pelos Serviços de Informações, as duas entidades em Portugal que monitorizam a atividade de piratas informáticos.
Sem especificar em que chats ou páginas específicas da dark web essas informações estavam a ser partilhadas, o gabinete do secretário-geral da Assembleia da República refere, em resposta a questões do Observador, que os serviços técnicos do site avançaram de imediato com um “isolamento do sistema informático da AR face ao exterior” — o que explica que, durante breves minutos, o próprio site do Parlamento tenha ficado offline.
Na prática, os responsáveis técnicos da Assembleia cortaram o acesso à internet, “incluindo os canais de acesso remotos” que permitem, por exemplo, que deputados e funcionários da Assembleia da República acedam aos serviços mesmo quando não estão fisicamente presentes nas instalações do Parlamento. Uma resposta imediata que permite bloquear o acesso ao sistema interno quando se verifica (ou se suspeita que esteja em curso) um ataque informático.
Houve dificuldades de acesso à distância, mas também para quem tentasse aceder à rede interna a partir das instalações da Assembleia. “Desta medida, resultou a indisponibilidade externa do site do Parlamento, alguns constrangimentos para os funcionários que se encontravam em trabalho remoto e a indisponibilidade de acesso à internet, a partir da Assembleia da República”, explica o gabinete de Albino de Azevedo Soares.
PJ investiga eventual ataque informático ao site do parlamento, que está em baixo para averiguações
“Internamente, o sistema, incluindo o site do Parlamento, manteve-se em funcionamento”, clarifica a mesma fonte oficial.
CNPD notificada de partilha de credenciais parlamentares
Na sequência desse episódio — que começou por ser enquadrado como um “alegado ataque” —, a Assembleia da República notificou a Comissão Nacional de Proteção de Dados (CNPD) de que teria sido alvo de um acesso indevido a dados internos. Ao Observador, aquele organismo — responsável por, entre outras funções, fiscalizar o cumprimento do Regulamento Geral de Proteção de Dados e a proteção destas informações por parte de instituições públicas e privadas — confirma essa notificação. “Confirmo que a Assembleia da Republica notificou [de um acesso indevido a informações reservadas do Parlamento] a CNPD dentro do prazo legal das 72 horas”, refere fonte oficial deste organismo, sem adiantar mais detalhes.
A Comissão Nacional de Proteção de Dados lembra, no entanto, que “é obrigação legal dos responsáveis pelo tratamento de dados, ao abrigo do artigo 33° do RGPD, e nas condições dessa norma legal, notificar à CNPD violações de dados pessoais”.
Mas, segundo os responsáveis da Assembleia, não houve acesso a dados pessoais de funcionários ou, sequer, de deputados. “No dia 01/02/2022, a Assembleia da República comunicou à CNPD o ocorrido, dando nota de que não existiam evidências de comprometimento de qualquer dado pessoal, apesar de prosseguirem as averiguações”, refere o gabinete do secretário-geral, depois de essa possibilidade ter sido deixada em aberto nas primeiras informações tornadas públicas logo a seguir ao “apagão” de finais de janeiro.
PGR investiga acesso a passes da Assembleia da República
Depois desse episódio, a reposição do sistema interno do Parlamento foi sendo feita de forma gradual. “O acesso foi reposto por volta das 20h do dia 02/02/2022”, a quarta-feira seguinte ao dia das eleições. “Em simultâneo, foi desencadeada a renovação das credenciais de acesso de todos os utilizadores o que causou alguns constrangimentos relacionados com a sincronização das suas contas com o sistema informático”, acrescentam ao Observador os serviços da Assembleia da República.
Apesar de alguns relatos, muito pontuais, de alguns elementos ligados aos partidos com assento parlamentar — e que passaram, sobretudo, por dificuldades no acesso ao email profissional —, os serviços técnicos da AR dão conta de que, “presentemente, não existem quaisquer constrangimentos e o sistema encontra-se a funcionar normalmente”. De resto, “à medida que os utilizadores concretizam a alteração das suas credenciais, readquirem o normal acesso ao sistema informático”.
O Observador questionou a Procuradoria-geral da República sobre o “apagão” no site da Assembleia da República, no pressuposto de que o próprio sistema informático poderia ter sido alvo de um ciberataque. Até à publicação deste artigo, não foi prestado qualquer esclarecimento sobre este caso, mas a própria Assembleia da República reconhece que “a ocorrência se encontra em investigação pelas autoridades competentes”, ou seja, terá sido instaurado um inquérito-crime pelo Ministério Público para apurar responsabilidades sobre o acesso, num primeiro momento, e a divulgação pública, depois, de dados que, no limite, poderiam efetivamente permitir um acesso a informações reservadas de um órgão de soberania.
Série de ataques antes e após as eleições
O episódio que envolveu o site do Parlamento aconteceu exatamente no dia em que os portugueses se dirigiam às urnas de voto para eleger a próxima composição parlamentar. As primeiras informações sobre este caso surgiram ao início da tarde, com a divulgação de notícias que davam conta de um ataque realizado pelos mesmos hackers que, no início do ano, atacaram — e destruíram o arquivo digital — os sites do grupo de comunicação social Impresa.
Foi, aliás, do Expresso que partiu a notícia de que elementos ligados ao Lapsu$ Group reclamavam a autoria de um suposto ataque ao site do Parlamento. “Hoje hackeámos o site do Parlamento e tivemos acesso a aplicações da Microsoft e a uma grande quantidade de bases de dados que contêm informação sensível do Governo relacionada com informações pessoais de políticos e de partidos políticos, muitos documentos, emails, passwords…”, escrevia o semanário, citando uma nota alegadamente publicada por elementos daquele grupo também na dark web.
Mas essa tese acabou por não se confirmar. Foi, de resto, o mesmo jornal a noticiar que o grupo que tinha atacado os servidores do grupo Impresa se distanciava desse episódio com o site do Parlamento. “Não utilizamos quaisquer fóruns ou Twitter! Isto é um esquema com o nosso nome!”
Depois do ataque à Impresa, seguiram-se outros casos, ainda que com contornos (e impacto) distintos. A 6 de fevereiro (domingo, como o dia das eleições), outro grupo de comunicação social viu os seus sites ficarem em baixo depois de um ciberataque que afetou jornais como o Correio da Manhã e a televisão do grupo (CMTV), a revista Sábado, o Jornal de Negócios e o jornal desportivo Record.
Neste caso, os sites estiverem inacessíveis durante 12 horas. Mas, ao contrário do que aconteceu com o Expresso, não houve registo de terem sido destruídos permanentemente milhões de ficheiros em arquivo (como notícias, artigos de opinião, etc.). O grupo liderado pelo empresário Paulo Fernandes referiu, em comunicado, que, “em nenhum momento, os sistemas da Cofina Media, ou do seu site institucional (cofina.pt) estiveram indisponíveis”. Situação muito distinta da que ocorreu com o grupo Impresa, que durante vários dias, impossibilitou o acesso a emails, backoffice, entre outras ferramentas vitais.
Mais recentemente, o grupo Trust In News foi também alvo de um ataque — ficando comprometido o acesso a arquivos e programas de edição de texto, VPN, entre outras ferramentas, mas não o arquivo de notícias.
Vodafone. Tudo o que parou no país ou está com problemas devido ao ataque
E, fora do universo da comunicação social, num dos ataques com maiores repercussões públicas até ao momento, a mira dos hackers virou-se para a empresa de comunicações Vodafone.
Foi logo no dia seguinte ao ataque à Cofina. Ao final da noite de 7 de fevereiro, os clientes da empresa deixaram de conseguir fazer chamadas e trocar SMS e ficaram sem acesso à internet através dos dados móveis. O ataque afetou mais de quatro milhões de utilizadores daquele serviço de comunicações e provocou uma reação em cadeia: entre outros problemas, impossibilitou temporariamente a gestão de parte do sistema de resposta a situações de emergência médica, impediu que se realizassem comunicações em ambiente hospitalar, paralisou parte do sistema da rede Multibanco e de pagamentos em terminais bancários.