Ataque aos sites da SIC e Expresso

O grupo Impresa, ao qual pertence o Expresso e a SIC, foi vítima de um ciberataque este domingo – “um atentado nunca visto à liberdade de imprensa em Portugal na era digital”, anunciaram. O grupo adianta que está a trabalhar com a Polícia Judiciária e com o Centro Nacional de Cibersegurança e que vai apresentar uma queixa-crime.

A autoria do ataque foi reivindicada pelo Lapsus$ Group, que ao início da noite de domingo enviou um email aos subscritores das newsletters do Expresso, através do habitual expresso@news.impresa.pt, com a mensagem “os dados serão vazados caso o valor necessário não for pago. Estamos com acesso nos painéis de cloud (AWS). Entre outros tipos de dispositivos, o contato para o resgate está abaixo”. Contudo, a quantia do resgate não foi discriminada. A mensagem esteve visível no site do Expresso, que, entretanto, a substituiu por uma nota de indisponibilidade. 

Visados pelo ataque, os websites do Expresso e da SIC estão em baixo, “assim como algumas das suas redes sociais”, o que poderá invalidar tratar-se de um ataque ransomware, mesmo incluindo técnicas de extorsão. “Ainda temos que observar mais atividades e perceber como funcionam para confirmar esta afirmação. Ao momento, podemos constatar que o grupo usou em alguns dos ataques, senhas mal configuradas ou uma configuração insegura na conta da cloud (autenticação multifator) para comprometer os diferentes ambientes”, explicou Marc Rivero, analista da equipa de Análise e Investigação Global da GReAT da Kaspersky.

Mais, “pelo que sabemos neste momento, este grupo é novo e iniciou a sua atividade por volta do início de dezembro. O grupo parece usar técnicas de hacking para comprometer as suas vítimas, mas não conseguimos assegurar que tenham executado algum ransomware no servidor do cliente. Deixar notas e comentários nos sites, como os grupos de ransomware estão a fazer, pode ser apenas uma questão de chamar à atenção”, acrescenta o analista da Kaspersky. 

O grupo Lapsus$ já teria sido responsável por um outro ataque à Polícia Federal do Brasil e ao Ministério da Saúde do país em dezembro de 2021 e “promove as suas atividades e ações por meio de grupos do Telegram, onde os criminosos partilham grande parte dos dados roubados. Desta vez, existem cinco vítimas diferentes afetadas por este grupo de hackers”, completa.

Em comunicado dirigido aos leitores, citado pelo Observador, a direção do Expresso notou que “no seguimento do ataque informático que o Expresso foi alvo, foi enviado um email com o subject: ”BREAKING Presidente afastado e acusado de homicídio” cuja autoria não é do Expresso. Recomendamos que o apague“. Os órgãos de comunicação do grupo de Francisco Pinto Balsemão continuam a funcionar através das páginas que permanecem ativas – no Facebook, LinkedIn e Instagram. 

Assim, além do conteúdo das plataformas informativas e consequente indisponibilidade do serviço, o email enviado pelos criminosos aos leitores indica que acederam a dados pessoais dos assinantes do grupo Impresa.

Mensagem dos atacantes no Telegram

Já na segunda-feira foi a vez dos subscritores da plataforma de streaming da SIC, a Opto, receberem uma mensagem apelando a visitar, no Telegram, o feed do Lapsus$. Perante a mensagem, alguns subscritores da plataforma Opto cancelaram as suas autorizações de débito automático junto das instituições bancárias.

É de notar que ainda não foi tornado público que tipos de dados pessoais comprometidos, parecendo agora certo que são mais extensos do que inicialmente aparentava. Os serviços da Impresa continuam indisponíveis à hora da atualização.

Já esta terça-feira, o grupo Lapsus$ "hackeou" o principal website da maior comunidade de fotografia em língua portuguesa, também pertencente ao grupo Impresa, que deverá contar com mais de 300 mil membros, o Olhares.com, utilizando, aparentemente, o mesmo acesso indevido ao painel da AWS.

Até à hora da atualização desta notícia o Grupo Impresa ainda não comunicou a fuga de dados à Comissão Nacional de Dados Pessoais (CNPD) de acordo com declarações do seu secretário-geral. Segundo o RGPD o prazo para a comunicação de um incidente às autoridades nacionais é de 72 horas.

A natureza do ataque e as múltiplas comunicações geradas pelos hackers para utilizadores das plataformas não deixa muitas dúvidas sobre a necessidade deste incidente ser oficialmente notificado pelo Grupo Impresa à CNPD nas próximas horas.

#liberdadeparainformar

Os sites do Expresso e da SIC Notícias voltaram ao ativo, no mesmo endereço, mas com "um site provisório" e a "promessa" de continuar a informar, anunciaram num comunicado no site provisório - "agora, e enquanto fazemos todos os esforços para recuperar o que é nosso (o que é seu), decidimos criar um site temporário, este que está a abrir agora, que nos permitirá levar-vos outra vez as nossas notícias – aquelas que temos vindo a publicar apenas nas redes sociais do Expresso".

O Expresso dirigiu-se "aos assinantes, um pedido de desculpas e de compreensão: estamos a fazer tudo o que podemos para entregar novamente os nossos exclusivos, assim como para garantir a entrega nas bancas da próxima edição semanal do Expresso" e "uma segunda palavra, não só aos assinantes, mas a todos os utilizadores do Expresso: estamos, de forma permanente e incessante, a colaborar com as autoridades e a desenvolver as acções necessárias no sentido de resolver a situação tão rápido quanto possível".

Já em modo de agradecimento, mencionou, ainda, os restantes "órgãos de comunicação social que nos têm apoiado e aos anunciantes e parceiros que se mantêm ao nosso lado: obrigado pela vossa compreensão e por estarem connosco". É de notar que a Media Capital lançou uma nota de repúdio perante o ataque ao grupo Impresa, enquanto ameaça "à imprensa livre" e um "atentado à sociedade", ou o Público, que também manifestou a sua solidariedade. 

O site do jornal ribatejano O Mirante também ficou em baixo no seguimento do ataque. Apesar de não pertencer à Impresa, o site está alojado nos servidores do grupo. Na página de Facebook do jornal regional lê-se "site de O Mirante afetado pelo ataque informático ao Expresso e SIC". Desde 2016 que a publicação recorre à infraestrutura tecnológica do grupo Impresa, utilizando, agora, as redes sociais como meio de comunicação informativo. 

Notícia atualizada no dia 5 janeiro às 16:34h