Na manhã deste domingo, 2 de janeiro, os sites do jornal “Expresso” e do canal televisivo SIC foram alvo de um ataque informático que deixou os servidores em baixo. Os órgãos do Grupo Impresa foram atacados pelo Lapsus$, grupo de piratas informáticos conhecido por hackear outros sítios de grande dimensão no Brasil e nos Estados Unidos. Em troca da devolução do acesso, os piratas informáticos pedem um resgate.

As páginas mantêm-se inacessíveis mais de um dia depois do ataque. Não há grandes informações por parte da empresa de média, mas a julgar por casos similares, os órgãos terão perdido o acesso completo aos seus servidores e a redes sociais como o Twitter.

O jornal, que define este ataque como “um atentado nunca visto à liberdade de imprensa”, anunciou em comunicado publicado ontem que “os jornalistas dos dois meios da Impresa continuam a noticiar o que de mais relevante acontece no País e no Mundo através das páginas que permanecem ativas” nas redes sociais. O grupo esclarece, ainda, que “tem trabalhado com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança, e apresentará uma queixa-crime“.

 

View this post on Instagram

 

A post shared by Expresso (@jornalexpresso)

Quem é o grupo Lapsus$?

Não se sabe, na verdade, quem são os rostos por detrás deste grupo de hackers. O Lapsus$ terá sido criado há menos de um ano, tendo ganho mediatismo depois de um ataque massivo a plataformas do Ministério da Saúde brasileiro, entre os quais o portal dedicado à Covid-19 e a aplicação do Sistema Único de Saúde, ataques que duraram vários dias e deixaram sequelas no funcionamento desses meios.

Neste comprometimento das plataformas da saúde, os hackers garantiram ter roubado milhões de dados relativos à vacinação contra a pandemia no país, que o Ministério da Saúde brasileiro garantiu terem sido recuperados.

Recentemente, o grupo realizou também outro ataque mediático – aos servidores da Electronic Arts (EA), uma empresa de videojogos norte-americana responsável por vários jogos de sucesso.

“Não devia acontecer à comunicação social, mas acontece” – como se dão estes ataques?

Os ataques deste calibre são conhecidos como ransomware. Ao JPN, Luís Antunes, diretor do Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto (UP), encarregado de Proteção de Dados na Comissão Nacional de Proteção de Dados (CNPD) e colaborador do Gabinete Nacional de Segurança e da Procuradoria Geral da República na área do cibercrime, explica que nestes casos “o atacante cifra a informação toda e, por norma, os donos dos servidores perdem acesso à informação. Depois dizem que dão a chave de acesso em troca de dinheiro. É um resgate, estão a raptar a informação e pedem um resgate”.

Nota publicada pelo grupo de ‘hackers’ nas páginas iniciais dos sites do Expresso e da SIC, entretanto eliminada. (Fotografia: Reprodução)

A origem do ataque não é conhecida, sendo uma das formas mais comuns o de envio de um email com um ficheiro danoso. Para o também docente na UP, a atenção a estas ameaças “devia ser maior nas empresas de comunicação social. O que aconteceu à Impresa acontece a dezenas, centenas, até milhares de empresas, porque os sistemas de informação não foram desenhados para serem seguros. “Não devia acontecer à comunicação social, mas acontece”, afirma.

“Os sistemas, mesmo os mais recentes, têm vulnerabilidades e os hackers tiram partido delas. Não sabendo o que aconteceu ao certo, é importante manter sempre os sistemas atualizados e as atualizações de segurança dos servidores feitas. As vulnerabilidades vão aparecer sempre, não existe um sistema 100% seguro”, refere.

Apesar de se desconhecerem todos os contornos deste ataque, as especificidades de outros ransomware preocupam pela possível captação de dados dos utilizadores, presentes nas plataformas do Grupo Impresa. “Estes sites têm por norma muita informação dos utilizadores, principalmente na questão das passwords. A partir do momento em que o atacante tem acesso a estes dados, pode escalar o ataque para afetar diretamente os utilizadores“, alerta.

Para o investigador, é possível que tal já tenha acontecido. “Quem subscreve o Expresso já recebeu um email com uma notícia falsa, o que significa que os atacantes já tiveram acesso aos correios dos utilizadores”, explica.

Sobre a integração do Nónio – plataforma comum a múltiplos órgãos de comunicação com login único e que coleciona dados para personalizar a experiência do leitor -, Luís Antunes diz que a preocupação é relativa. “Se os hackers tiverem acesso a esses dados também, o problema ganha uma dimensão muito maior. Mas para isso é preciso conhecer os sistemas e fazer análises de segurança”.

“Não penso que [o ataque] tenha sido direcionado”

Luís Antunes diz ao JPN que não considera que este ataque “tenha sido direcionado” especificamente a este grupo por agregar órgãos informativos. Acima de tudo, “estas pessoas querem ganhar dinheiro, ganha-se muito dinheiro com isto. Estes são ataques oportunistas em que os atacantes não sabem que estão a atacar a SIC ou o Expresso, sabem que estão a atacar um IP” – o endereço de cada servidor de Internet.

Porém, não deixa de observar que “se um ataque destes fosse direcionado à comunicação social, podiam começar a injetar notícias falsas e comprometer largamente a veracidade das notícias. Que temos esse perigo, temos, porque assumiram o controlo de todos os sistemas de informação do grupo. Intencional ou não, o risco existe“.

O encarregado de Proteção de Dados na CNPD acredita que, apesar dos contornos ainda por avaliar, há uma lição que pode ser tirada. “Esta é uma excelente oportunidade para este grupo de comunicação social aumentar o alerta e fazer alguma pedagogia sobre segurança” na Internet, termina.

Artigo editado por Filipa Silva