Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”

A Endesa Espanha revelou ter sido alvo de um incidente de segurança que resultou no acesso não autorizado a dados pessoais de clientes, incluindo informação contratual e financeira. A violação afetou também clientes da Energía XXI, a comercializadora do grupo. No entanto, questionada pela IT Security que “o incidente de segurança não tem afetação aos clientes de Portugal”.

Atualmente controlada pelo grupo italiano Enel, a Endesa fornece eletricidade e gás a mais de dez milhões de clientes em Espanha e Portugal, contando no total com cerca de 22 milhões de clientes. A empresa informou os clientes afetados e divulgou publicamente o incidente, indicando ter detetado um acesso ilegítimo à sua plataforma comercial.

“Apesar das medidas de segurança implementadas pela empresa, detetamos evidências de acesso não autorizado e ilegítimo a certos dados pessoais de nossos clientes relacionados aos seus contratos de energia, incluindo os próprios”, refere a Endesa na comunicação enviada aos clientes.

De acordo com a investigação preliminar, os atacantes tiveram acesso a dados básicos de identificação dos clientes, informação de contacto, números de identificação nacional (DNI), detalhes contratuais e dados de pagamento, incluindo IBAN, embora a Endesa e a Energía XXI garantam que as palavras-passe das contas de cliente não foram comprometidas no âmbito deste incidente.

Como resposta, a empresa bloqueou o acesso às contas internas comprometidas, recolheu registos para análise forense e reforçou os mecanismos de monitorização para detetar eventuais atividades suspeitas adicionais. Paralelamente, encontra-se a notificar todos os clientes potencialmente afetados.

A energética confirmou ainda ter informado a Agência Espanhola de Proteção de Dados e as autoridades competentes, uma vez que a investigação continua em curso. Segundo a empresa, até ao momento não existem indícios de utilização fraudulenta dos dados comprometidos.

“Até à data desta comunicação, não há evidências de que qualquer uso fraudulento tenha sido feito dos dados afetados pelo incidente, tornando improvável que um impacto de alto risco nos seus direitos e liberdades se materialize”, sublinha a Endesa no comunicado. Ainda assim, a empresa alerta para a existência de riscos e recomenda que os clientes se mantenham atentos a tentativas de usurpação de identidade, roubo de dados ou ataques de phishing, solicitando que qualquer atividade suspeita seja reportada através dos contactos disponibilizados.

Entretanto, alegados atacantes publicaram online o que dizem ser amostras de dados roubados à Endesa, afirmando ter acesso a cerca de 20 milhões de registos e a aproximadamente 1TB de bases de dados SQL com informação de clientes, colocadas à venda para um comprador exclusivo. Os detalhes divulgados parecem coincidir com os tipos de dados referidos pela empresa como tendo sido acedidos.

A Energía XXI garante que o incidente não teve impacto nas operações ou na continuidade dos serviços, assegurando que os clientes podem continuar a utilizar os seus serviços normalmente. A empresa compromete-se a informar diretamente os clientes caso a investigação revele novos desenvolvimentos relevantes sobre o incidente de segurança.