O Centro Nacional de Cibersegurança diz estar a investigar a situação e já pediu para o fornecedor de alojamento online indisponibilizar a apresentação dos ficheiros com elementos de autenticação furtados.
Milhares de endereços de correio electrónico e respectivas passwords de profissionais a trabalharem em Portugal, incluindo credenciais de utilizadores de emails de organizações públicas e privadas, foram disponibilizados em duas listas na “dark web”, noticia esta quinta-feira a Sábado.
Contacto pelo Computerworld, o Ministério da Presidência e da Modernização Administrativa assegurou já estar a par do sucedido e que assim “que teve conhecimento da situação”, o Centro Nacional de Cibersegurança (CNCS) “analisou o caso”, avança fonte oficial do Ministério.
As listas, com mais de mil milhões de e-mails e passwords de todo o mundo, são compostas por dados recolhidos, ao longo de anos, em redes sociais, em sites de armazenamento de dados e outros locais que implicam registos, como inscrições em conferências. As listas terão sido detectadas pela primeira vez em Maio de 2017, refere o centro nacional de cibersegurança da Nova Zelândia, citado pela Sábado. A lista Expoit.in terá sido compilada em meados de 2016 e a Anti-Public começou a circular no final desse ano, segundo a mesma fonte.
“O CNCS deu, desde logo, conhecimento das suas averiguações à UNC3T da PJ, para se proceder às investigações adequadas” sendo que já foi aberto um inquérito para apurar o que está em causa. Em simultâneo, o “fornecedor do serviço que alojava o ficheiro foi contactado no sentido de o tornar indisponível”, avança a mesma fonte .
“As credenciais associadas aos endereços de email são antigas ou não são sequer credenciais de acesso à caixa de correio eletrónico, o que indicia que terão sido apenas utilizadas para registo em sites de eventos, redes sociais ou outros”.
Segundo o Ministério da Presidência e da Modernização Administrativa, “pelo que foi apurado, as credenciais associadas aos endereços de email são antigas ou não são sequer credenciais de acesso à caixa de correio eletrónico, o que indicia que terão sido apenas utilizadas para registo em sites de eventos, redes sociais ou outros”. Entretanto, “foram contactadas as entidades com responsabilidade pela gestão da segurança dos sistemas, por forma a que pudessem adotar as medidas apropriadas”, explica a mesma fonte.
Entretanto, o “CNCS vai continuar a colaborar com a PJ/UNC3T, se necessário, no âmbito da investigação criminal em curso promovida e dirigida por este Órgão de Polícia Criminal”, conclui.
Para evitar situações como esta, acções de resultantes da chamada shadow IT, o “CNCS tem realizado ações de formação e sensibilização, junto dos utilizadores do setor público, com o intuito de reforçar o comportamento preventivo, nomeadamente, em relação a boas práticas na produção e renovação das palavras-passe”, recorda o Ministério.
A Sábado analisou as listas com milhões de endereços de email e respectivas palavras passe disponíveis na Internet e encontrou milhares de endereços de email de Portugal (.pt). Entre os dados sonegados encontram-se emails e passwords de funcionários públicos, quadros de bancos, de empresas do PSI20, de clubes de futebol e ainda de autoridades policiais. A Sábado destaca ministérios, Forças Armadas, parlamento, Ministério Público, Polícia Judiciária, juízes, da Autoridade Tributária ou da Comissão Nacional de Eleições, mas também bancos, hospitais, transportadoras, sociedades de advogados e também de órgãos de comunicação social. Segundo a Sábado, estes endereços terão sido recolhidos, nos últimos anos, em ataques a redes sociais e outros sítios na Internet que impliquem um registo com aquele tipo de credenciais.
Em declarações à Sábado, fonte da Polícia Judiciária, explica que já não é a primeira vez que surgem listas como esta na Internet e que “há uns anos analisámos o conteúdo de uma primeira lista e verificámos que um terço da informação era falsa, mas o resto era verdadeiro”. Em causa está a utilização do email profissional para o registo em qualquer tipo de site, refere a fonte da PJ à Sábado. “Por si só não representa um perigo imediato, mas é um vector para um ataque de recolha de informações, uma porta aberta”.
Risco será efetivo se se utilizarem credenciais iguais em diferentes plataformas
“Na administração publica e nas organizações privadas o que está a faltar são sessões de consciencialização para a cibersegurança”, diz Sérgio Silva, especialista em cibersegurança com experiência no sector da Administração Pública.
Neste caso concreto “o risco será efetivo se não existir a utilização de diferentes credenciais para diferentes plataformas, ou seja, passwords distintas”, assinala. Exemplificando, o risco será maior quando “alguém usar as mesmas credencias do Facebook numa plataforma critica da organização”.
O especialista recomenda ainda uma boa prática: “não usar emails institucionais em plataformas de redes sociais e afins. Aliás uma excelente pratica será usar endereços de email distintos”.
Questionado sobre o que papel pode ter a legislação e a regulamentação, Sérgio Silva considera que “aqui a legislação pouco pode ajudar, trata-se de um caso onde a falta de consciencialização para estes problemas pode provocar danos graves. Do ponto de vista operacional e por uma questão de prevenção todos os utilizadores de plataformas criticas deveriam ser obrigados a mudar as suas credencias e se possível mudar para uma autenticação de dois factores”.