X-ray

A maior exfiltração de dados (conhecida) em Portugal

O grupo Ragnar Locker publicou 581GB de informação da TAP, incluindo dados de 1,5 milhões de clientes, assim como dados de colaboradores e contratos com várias entidades

Por Rui Damião . 03/10/2022

A maior exfiltração de dados (conhecida) em Portugal

No final de agosto, mais concretamente a 26 de agosto, a TAP informou que foi vítima de um ciberataque, tendo detetado “acesso não autorizado a alguns sistemas informáticos”. A intrusão não provocou danos nos processos operacionais da companhia aérea e a investigação inicial não indicava “qualquer risco” para a “segurança dos voos”.

No primeiro comunicado sobre o sucedido, a TAP afirmou que “não foi apurado qualquer facto que permita concluir ter havido acesso indevido a dados de clientes”. No entanto, o cibergrupo responsável – Ragnar Locker – emitiu uma nota a 31 de agosto onde dizia que tinha “motivos para acreditar que centenas de gigabytes podem estar comprometidos”, ameaçando partilhar as informações que detinha.

O Ragnar Locker é um ransomware operado por um cibergrupo com o mesmo nome. Está em utilização desde, pelo menos, dezembro de 2019 e, geralmente, ataca utilizadores que falem inglês. Entre as vítimas, contam-se empresas como a DESFA, operador de gás natural da Grécia, e a Capcom.

“Provas irrefutáveis”

Na tal nota de 31 de agosto, o grupo ameaçou partilhar “uma gigantesca quantidade de provas irrefutáveis” que contrariaram a posição inicial da companhia aérea. Já depois da informação ter sido divulgada pelo cibergrupo, a TAP emitiu um comunicado no mesmo dia onde define o texto do cibergrupo como “alegações de um grupo organizado de crime informático”. A empresa não confirmou nem desmentiu o acesso indevido aos dados, mas garantiu que continuava “a adotar, com o apoio de uma entidade externa internacional e em articulação com as autoridades, todas as medidas de contenção e remediação adequadas para proteger a empresa e os seus clientes”.

Dias depois, a 13 de setembro, o grupo publicou uma nova nota. “Querem que publiquemos cem a 300 mil [dados pessoais] por dia? Ou que publiquemos simplesmente, daqui a alguns dias, a base de dados total com cerca de 500 gigabytes onde incluímos não só informação pessoal de 1,5 milhões de clientes, mas também bastantes ficheiros internos da empresa muito interessantes?”, lia-se na publicação feita pelo grupo. Esta nota contava, também, com dados pessoais de 115 mil clientes da companhia aérea.

A TAP acabou por reconhecer, em declarações ao Público, que não foi possível evitar que dados caíssem na mão dos cibercriminosos no decorrer do ataque em agosto e que “as informações afetadas podem variar consoante o cliente e incluir dados como nomes, detalhes de contacto, informações demográficas e número de passageiro frequente”, explica. A companhia aérea garantiu, contudo, que as credenciais bancárias não foram comprometidas.

Adicionalmente, o grupo escreveu na sua página que, “a TAP Air Portugal fez um comunicado de imprensa onde afirmava com confiança que repeliu com sucesso o ataque cibernético e nenhum dado foi comprometido (mas temos algumas razões para acreditar que centenas de gigabytes podem estar comprometidos)”.

“Hoje estamos a publicar os dados completos”

Na noite de segunda (dia 19 de setembro) para terça-feira, o grupo acabou por cumprir a sua ameaça. Na sua página subiram um total de 581GB de dados que incluíam os dados pessoais de 1,5 milhões de clientes da TAP. Entre estes dados, é possível ter acesso a nome, nacionalidade, género, morada, email, data de registo, número corporativo, número de telefone e língua de comunicação dos clientes, assim como a relatórios de ocorrências de incidentes, contratos, informações de segurança de voos ou aeroportos, dados de férias de colaboradores e acordos para aquisição de aeronaves, entre muitos outros.

No fim da nota, o grupo afirma que “a coisa mais interessante” se prende com o facto de “ainda não terem corrigido a vulnerabilidade na sua própria rede e este problema pode voltar a acontecer. Já agora se alguém quiser acesso remoto à TAP Air digam-nos”.

A TAP não terá acedido ao pagamento do resgate, daí a publicação dos dados exfiltrados. A TAP indicou estar a trabalhar com a Polícia Judiciária e com o Centro Nacional de Cibersegurança, para além de uma entidade estrangeira.

A Comissão Nacional de Proteção de Dados (CNPD) abriu um processo na sequência do ciberataque e após a TAP ter notificado a entidade do incidente. Também o Ministério Público está a investigar o ciberataque à companhia aérea.

Pedido de desculpas

Num vídeo publicado no YouTube, Christine Ourmières-Widener, CEO da TAP, faz um pedido de desculpas aos clientes por “qualquer inconveniência” que o ataque – que, diz, afetou não só a empresa, mas também os clientes – possa estar a causar.

Com o objetivo de responder às várias questões, a CEO informa que a companhia aérea publicou uma nota no site onde indica que sofreu um ciberataque e, embora “tenha implementado imediatamente as medidas e procedimentos adequados”, os “atacantes conseguiram aceder ilegitimamente a dados pessoais de clientes TAP”.

“Embora a senha de acesso ao serviço Miles&Go ou à área reservada dos clientes não se encontre entre os dados pessoais que foram comprometidos, por precaução, recomendamos a verificação das condições de segurança que os nossos clientes utilizam para aceder à sua área reservada, nomeadamente através da utilização de uma senha forte e da sua alteração frequente”, escreve a companhia aérea.

A comunicação depois do ataque

Em declarações à IT Security, Sérgio Silva, CEO da CyberS3c, relembra que quase “600GB não saem de uma rede assim de um dia para o outro”. Mesmo existindo um ataque com sucesso, existindo “uma monitorização da rede, poderia estancar-se” esta fuga de informação; “não se conseguia que toda a informação não saísse, mas que parte da informação não saísse”.

Quando vem a público, os cibercriminosos já estariam na rede há algum tempo, até porque “basta pensar quanto tempo demora fazermos download de 600GB e pensar que isto duraria alguns dias”. Assumindo que não sabe em detalhe o que aconteceu, Sérgio Silva indica que poderá ter existido algum problema “na deteção da exfiltração quando estava a acontecer”.

O CEO da CyberS3c afirma, também, que tem “existido uma péssima comunicação por parte da TAP. Começou por negar tudo, que estava tudo bem, que ninguém tinha tocado nos dados. Depois, já havia alguns dados. Por fim, temos um 1,5 milhões de dados de clientes” publicados na dark web.

“A TAP diz que não compactua com estas práticas – tudo bem – e pede para os clientes compreenderem e ajudarem a TAP. Isso é tudo muito bonito, mas a TAP devia ter um modelo totalmente transparente para os seus clientes e dizerem o que aconteceu, o que está a ser feito e que informação está a ser exposta”, diz Sérgio Silva.

“Os ataques são inevitáveis”, relembra, acrescentando que é igualmente importante “o que fazemos quando sofremos o ataque. Não podemos dizer numa primeira fase que está tudo bem, fizemos a análise e não saíram dados nenhuns – quase umas horas depois do ataque vir a público – e depois, passado este tempo, temos quase 600GB de informação na Internet”.

Uma questão de RGPD

Também em declarações à IT Security, Diogo Duarte, jurista e especialista em matéria de dados pessoais, lembra o caso da British Airways, onde, em 2018 (em que o Reino Unido ainda fazia parte da União Europeia), uma exfiltração afetou as informações pessoais – nomeadamente nomes, moradas e números de cartões bancários – de cerca de 380 mil passageiros da companhia aérea britânica.

Ainda que “o paralelismo não seja perfeito”, uma vez que o caso da TAP é maior em número, mas, por outro lado, o da British Airways contava com informações bancárias, é possível fazer algumas comparações e “ver o que possivelmente vai acontecer à TAP”.

No caso da British Airways, existiu uma primeira coima da autoridade de controlo fixada à volta dos 183 milhões de libras que, depois, foi reduzida para 20 milhões “por causa do impacto económico que a pandemia teve nas companhias aéreas”.

Neste caso da TAP, é possível esperar uma coima, “independentemente das conclusões que se venham a alcançar, parece-me relativamente óbvio que este caso vai culminar na aplicação de uma coima”.

Para além da coima, a CNPD terá de perceber se as medidas de segurança de informação que a TAP tinha implementadas na altura “eram ou não suficientes”, refere Diogo Duarte. Sabendo que não é possível estar 100% seguros, os graus de proteção podem ser muito diferentes e estes “são elementos que a CNPD vai ter de pegar para analisar”. No ciberataque à British Airways, “a autoridade de controlo verificou que as medidas que a British Airways tinha implementadas eram insuficientes e até enumera que medidas simples – como testes de vulnerabilidades ou de penetração, limitação de controlos de acessos e duplo fator de autenticação – poderiam ter sido suficientes para evitar o ataque”.

Diogo Duarte lembra que existem outros danos para além da coima e do dano reputacional. “Não podemos ignorar as questões mais políticas que se levantam; a TAP foi alvo de uma intervenção pública e houve montantes avultados que foram injetados e há uma quebra a dois níveis: a quebra enquanto contribuinte e a quebra de confiança enquanto cliente”, diz.

Para além da coima que pode ser aplicada, também existe a possibilidade de existirem clientes que litiguem judicialmente com a TAP. “No RGPD temos o artigo 82 que prevê que os titulares de dados afetados podem vir a requerer e a receber uma indeminização por causa deste ciberataque”, refere Diogo Duarte.

Valor da coima

O jurista e especialista em matéria de dados pessoais sublinha que há duas falhas neste caso. “O que chegou à comunicação social é que, a 26 de agosto, se denota um acesso indevido ao sistema da TAP – onde há um primeiro ataque para exfiltrar dados antes de se pedir o resgate –, mas aqui vale a pena notar que a 26 de agosto – quando se depara com o acesso indevido e a TAP afirma ter feito uma auditoria forense – e se diz e assegura que não há violação de dados, há aqui uma segunda falha”, explica Diogo Duarte. “A primeira [falha] é o acesso indevido; ocorreu e representa uma falha de segurança. A seguir é fazer uma auditoria e garantir que não há acesso a dados e, mais tarde, virmos a confirmar acesso a esses dados”.

A CNPD terá, pela frente, uma investigação para perceber que medidas de cibersegurança existiam ou não nos sistemas da TAP, nomeadamente dados cifrados. “Caso se venha a verificar que este tipo de medidas não estavam a ser implementadas pela TAP, a gravidade do caso – sobretudo da perspetiva daquilo que a TAP poderia ter feito – parece-me que este seja um fator agravante que a CNPD terá em devida consideração”, acrescenta.

Diogo Duarte explica que quando uma autoridade de controlo vai implementar uma coima, tem de olhar para a natureza, a gravidade e a duração da infração. Simultaneamente, vai verificar se resulta de uma ação intencional ou negligente e para o grau de responsabilidade da TAP na aplicação das medidas de cibersegurança.

Sendo possível que a CNPD aplique uma coima à TAP, importa, também, perceber o valor dessa coima. Neste ponto, Diogo Duarte lembra que as coimas não começam num patamar mínimo; “é verdade que a lei de execução nacional do RGPD diz que, para as grandes empresas, as coimas mais graves começam a partir de 2.500 euros, mas temos uma deliberação da CNPD que diz que a lei nacional viola o primado da União Europeia”, assevera.

Em termos não jurídicos, Diogo Duarte explica que isto significa que temos um regulamento que permite algumas margens de manobra que os Estados podem adotar, mas que Portugal foi além das margens permitidas. “Não se prevê no RGPD que as coimas possam ser alteradas para patamares mínimos. Portugal faz uma diferenciação entre pessoas singulares, pequenas e médias empresas e grandes empresas; esta diferenciação não está prevista no RGPD. Há uma deliberação da CNPD – de 2019/494 da CNPD – que desaplica partes da lei nacional e desaplica bem”, diz.

No que à coima diz respeito, existem dois níveis: grave e muito grave, mas, com os elementos existentes, “é difícil” prever uma coima para a TAP. Na sua plenitude, “o artigo 83 do RGPD estabelece dois patamares, cujo primeiro patamar parte dos zero euros até a um teto máximo de dez milhões de euros ou 2% do volume anual de negócios, consoante o valor mais alto. Mas estamos perante um caso ainda mais grave e parece-me que aqui entra o segundo patamar, que vai até aos 20 milhões de euros ou 4% do volume anual de negócios. Neste momento, é difícil estabelecer um valor para a coima, mas certamente será um valor recorde”.

Cooperação internacional

Diogo Duarte lembra, também, que o RGPD prevê um mecanismo de cooperação internacional. “Quando existe uma violação de dados que tem impacto em titulares que estão fora de Portugal podem ser ativadas autoridades de outros países”.

“Este mecanismo de cooperação implica que a autoridade de controlo nacional – a CNPD – atua como autoridade principal e lidera a investigação principal. No entanto, pode ter outras entidades e autoridades europeias – que pode ser a autoridade francesa ou luxemburguesa, locais onde existem comunidades portuguesas e que para onde a TAP tem voos estratégicos – a ajudar na investigação”, explica.

O jurista e especialista em matéria de dados pessoais refere que os afetados fora de Portugal podem ativar as autoridades locais e, “quando temos autoridades como a francesa ou espanhola – que são muito mais fortes – obriguem a CNPD a imprimir um cunho mais reforçado na coima que pode vir a ser aplicada. É bastante remoto que seja a CNPD sozinha a analisar o caso”.

Período de investigação

A CNPD afirma que já começou a analisar o caso e o RGPD não prevê um período máximo para quando esta investigação tem de estar concluída. No caso da British Airways, demorou cerca de dois anos para chegar à aplicação da coima, mas Diogo Duarte recorda que a autoridade britânica era, na altura, a mais forte em termos de recursos – humanos, técnico e financeiros – da União Europeia.

“Se a autoridade que tinha mais meios na altura demorou dois anos, podemos ser otimistas e dizer que a CNPD vai levar, pelo menos, o mesmo tempo, mas suspeito que irá requerer muito mais tempo”, explica.

Diogo Duarte prevê que a investigação leve alguns anos – uma vez que não é uma questão simples e o histórico da CNPD tende a prolongar as decisões –, mas diz ser fundamental que “a CNPD atuasse neste caso porque a nossa lei de execução nacional prevê prazos de prescrição e era bom que a CNPD não deixasse cair nestes prazos de prescrição que estão estabelecidos na lei e atuasse”.

O artigo 40 da lei 58/2019 de 8 de agosto prevê um prazo de três anos quando se trata de uma contraordenação muito grave ou de dois anos quando se trata de uma contraordenação grave. “Por princípio, haverá um prazo de prescrição de três anos para a contraordenação”.

Saber se os dados foram comprometidos

O projeto HaveIBeenPwned, de Troy Hunt, já conta com os dados dos clientes da TAP. Os utilizadores têm apenas de colocar o(s) seu(s) email(s) e, se o email consta da fuga de dados, irá apresentar uma mensagem onde refere a TAP Air Portugal, assim como os dados comprometidos que constam na exfiltração.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.