O ataque de 2 de janeiro deixou os sites da SIC, Expresso, Blitz, Olhares, ADVNCE e a plataforma OPTO offline, mas os efeitos são mais profundos e estendem-se aos sistemas de operação dos canais de TV e dos jornais e revistas. Nos últimos dias muito se tem especulado sobre os danos causados pelo Lapsus$ Group, que garante ter acesso às plataformas informáticas do Grupo, mas também sobre a forma como os hackers acederam ao sistema, e a que dados poderão ter tido acesso. Duas das principais dúvidas centravam-se na extensão do ataque e na possibilidade de terem sido violados dados pessoais.
As equipas do Grupo Impresa têm estado a trabalhar para recuperar os sistemas e a operação da empresa, e pouca informação foi sendo divulgada, para além dos curtos comunicados onde se dava conta de que estariam a trabalhar com a Polícia Judiciária o Centro Nacional de Cibersegurança. Foi também adiantado que a Impresa pretendia apresentar uma queixa crime relativa ao ataque.
Já ontem os sites do Expresso e da SIC Notícias voltaram a estar online, embora em modo provisório e sem a maioria das funcionalidades habituais, com uma página assente em WordPress. Depois de se saber que alguns leitores e assinantes estavam a receber mensagens alegadamente enviadas pelo Lapsus$ Grouo, as direções de informação da SIC e do Expresso usaram também as redes sociais para deixar um alerta a todos para não seguirem os links nem partilharem as mensagens.
Hoje o Grupo Impresa já tinha dado conta do ataque num comunicado à CMVM, e às 20h05 publicou nos sites um texto com 11 esclarecimentos aos leitores e espectadores, onde partilha mais informação, mesmo que a maioria dos detalhes ainda precisem de análise forense até serem verificados. É neste texto que reconhece que, apesar o do que está a ser feito, "demorará algum tempo para que a normalidade de todas as operações seja reposta".
Entre a informação relevante agora divulgada está o facto da Impresa referir que "Tanto quanto foi possível saber, um grupo de atacantes (auto-identificados como“Lapsus$ Group”) realizou uma intrusão na rede interna, e utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do Grupo IMPRESA e outros serviços.".
Apesar de tudo configurar um ataque de ransomware, o texto sublinha que "à data do presente comunicado, não foi efetuado qualquer pedido de pagamento (“resgate”)". Recorde-se que os especialistas contactados pelo SAPO TEK referiram que este grupo é ainda recente, sendo conhecido desde dezembro pelos ataques realizados no Brasil, e que não há conhecimento sobre se são ou não muito profissionais neste tipo de operações.
Apoio do CNCS e PJ mas também de "empresas especializadas"
No texto o Grupo Impresa volta a admitir que desde o ataque, a 2 de janeiro, a empresa "tem trabalhado com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança". Foram ainda "contratadas empresas especializadas para auxiliar os departamentos internos do Grupo IMPRESA".
"Este ataque tem dificultado seriamente a missão dos nossos órgãos de comunicação social e, por estar a limitar a nossa capacidade de informar, resulta num grave atentado à liberdade de imprensa. Tem requerido de todos os profissionais do Grupo um esforço extraordinário para tentar colmatar as dificuldades técnicas impostas", refere o texto.
Tal como já tinha adiantado, a Impresa confirma que foi entretanto apresentada uma denúncia/queixa-crime no Departamento de Investigação e Ação Penal de Lisboa, contra incertos "pela prática de crimes de Terrorismo, Dano Relativo a Programas ou Outros Dados Informáticos, Sabotagem Informática, Acesso Ilegítimo, Acesso Indevido, Desvio de Dados e Destruição de Dados". Foi também notificado o incidente à Comissão Nacional de Proteção de Dados e à Comissão de Mercados e Valores Mobiliários.
"O objetivo do Grupo IMPRESA é continuar a resolver a situação e repor rapidamente a normalidade da respetiva atividade", refere o mesmo texto, lembrando que estão no ar sites provisórios, onde são publicadas as notícias que também são veiculadas pelas redes sociais. Segundo a Impresa, "os restantes sites do Grupo serão repostos de forma consistente e sucessiva"
No comunicado refere-se que está garantia a publicação da edição semanal do Espresso no sábado, "um número especial que assinala os 49 anos do jornal".
Dados dos assinantes e leitores comprometidos
Tal como se antecipava depois dos leitores e assinantes terem recebido mensagens com referências ao Lapsus$ Group, a Impresa admite que "Alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico", mas refere que não foram destruídos ou apagados das bases de dados.
A empresa afirma ainda que não há evidências de que os atacantes tiveram acesso às passwords, mas lembra que "sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes".
Também os dados dos cartões de crédito utilizados para a subscrição do Expresso e a assinatura da OPTO podem estar salvaguardados. "À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação", refere o comunicado.
Para reparar a violação de dados a Impresa diz que foi feita a "recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades".
Admite ainda que a equipa comercial vai divulgar nos próximos dias informação sobre a possibilidade dos leitores e assinantes serem ressarcidos pelo tempo que não puderam ter acesso aos serviços, mas pede a "compreensão necessária tendo em consideração que o ataque ainda se encontra em investigação e poderão surgir novas informações."
Pode ler aqui, na integram as perguntas e respostas publicadas sobre este ataque
1) Já sabem quem está por detrás e como teve lugar o ataque?
Tanto quanto foi possível saber, um grupo de atacantes (auto-identificados como“Lapsus$ Group”) realizou uma intrusão na rede interna, e utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do Grupo IMPRESA e outros serviços.
2) Os atacantes pediram algum resgate?
À data do presente comunicado, não foi efetuado qualquer pedido de pagamento (“resgate”).
3) O que foi feito para conter o ataque?
O Grupo IMPRESA envidou todos os esforços para a neutralização do ataque informático, tendo criado uma “task force” para a gestão do mesmo e acionado todas as medidas técnicas e procedimentos legais aplicáveis. Foi também contratada imediatamente uma empresa especializada em cibersegurança.
4) Recebi uma comunicação fraudulenta do Expresso intitulada «“Breaking” Presidente afastado e acusado de homicídio: Lapsus$ é o novo presidente de Portugal» e um SMS suspeito do Opto. O que devo fazer? E se voltar a receber comunicações desse género?
Deve apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo. Os atacantes podem explorar tais comportamentos para desencadear ações lesivas, como o “phishing” de credenciais.
5) Sou assinante do EXPRESSO e subscritor da Opto. Os meus dados pessoais foram acedidos pelos atacantes?
Alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico.
6) Os meus dados pessoais constantes das bases de dados de assinantes/utilizadores/subscritores dos meios e serviços EXPRESSO/SIC/OPTO foram destruídos ou apagados?
Não houve quaisquer dados pessoais de assinantes/utilizadores/subscritores que tenham sido destruídos ou apagados das referidas bases de dados.
7) Os atacantes tiveram acesso às passwords utilizadas para aceder ao Expresso e ao Opto?
À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes.
8) Os atacantes tiveram acesso aos dados do cartão de crédito utilizados para pagar a assinatura do EXPRESSO e a subscrição do Opto?
À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação.
9) Que medidas foram adotadas para reparar a violação de dados?
Foi, entre outras medidas, efetuada a recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades.
10) Enquanto assinante do EXPRESSO/subscritor da Opto, serei ressarcido pelo tempo em que não pude aceder a estes serviços?
A satisfação dos nossos assinantes e subscritores é uma prioridade para o Grupo IMPRESA. A nossa equipa comercial divulgará nos próximos dias mais informação sobre este assunto.
11) Com quem posso esclarecer todas as minhas dúvidas sobre a proteção dos meus dados pessoais?
Poderá dirigir questões relativas à proteção dos seus dados pessoais para o email privacidade.impresa@gmail.com . Seremos tão breves quanto possível, pedindo apenas a compreensão necessária tendo em consideração que o ataque ainda se encontra em investigação e poderão surgir novas informações.
Nota da Redação: Foi feita uma alteração no 5º parágrafo depois da Impresa ter alterado o ponto 1 do comunicado onde faz a explicação dos ataques.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários