O ataque de 2 de janeiro deixou os sites da SIC, Expresso, Blitz, Olhares, ADVNCE e a plataforma OPTO offline, mas os efeitos são mais profundos e estendem-se aos sistemas de operação dos canais de TV e dos jornais e revistas. Nos últimos dias muito se tem especulado sobre os danos causados pelo Lapsus$ Group, que garante ter acesso às plataformas informáticas do Grupo, mas também sobre a forma como os hackers acederam ao sistema, e a que dados poderão ter tido acesso. Duas das principais dúvidas centravam-se na extensão do ataque e na possibilidade de terem sido violados dados pessoais.

As equipas do Grupo Impresa têm estado a trabalhar para recuperar os sistemas e a operação da empresa, e pouca informação foi sendo divulgada, para além dos curtos comunicados onde se dava conta de que estariam a trabalhar com a Polícia Judiciária o Centro Nacional de Cibersegurança. Foi também adiantado que a Impresa pretendia apresentar uma queixa crime relativa ao ataque.

Já ontem os sites do Expresso e da SIC Notícias voltaram a estar online, embora em modo provisório e sem a maioria das funcionalidades habituais, com uma página assente em WordPress. Depois de se saber que alguns leitores e assinantes estavam a receber mensagens alegadamente enviadas pelo Lapsus$ Grouo, as direções de informação da SIC e do Expresso usaram também as redes sociais para deixar um alerta a todos para não seguirem os links nem partilharem as mensagens.

Hoje o Grupo Impresa já tinha dado conta do ataque num comunicado à CMVM, e às 20h05 publicou nos sites um texto com  11 esclarecimentos aos leitores e espectadores,  onde partilha mais informação, mesmo que a maioria dos detalhes ainda precisem de análise forense até serem verificados. É neste texto que reconhece que, apesar o do que está a ser feito, "demorará algum tempo para que a normalidade de todas as operações seja reposta".

Três dias depois sites da Impresa continuam offline. O que se sabe do ataque do Lapsus$ Group?
Três dias depois sites da Impresa continuam offline. O que se sabe do ataque do Lapsus$ Group?
Ver artigo

Entre a informação relevante agora divulgada está o facto da Impresa referir que "Tanto quanto foi possível saber, um grupo de atacantes (auto-identificados como“Lapsus$ Group”) realizou uma intrusão na rede interna, e utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do Grupo IMPRESA e outros serviços.".

Apesar de tudo configurar um ataque de ransomware, o texto sublinha que "à data do presente comunicado, não foi efetuado qualquer pedido de pagamento (“resgate”)". Recorde-se que os especialistas contactados pelo SAPO TEK referiram que este grupo é ainda recente, sendo conhecido desde dezembro pelos ataques realizados no Brasil, e que não há conhecimento sobre se são ou não muito profissionais neste tipo de operações.

Apoio do CNCS e PJ mas também de "empresas especializadas"

No texto o Grupo Impresa volta a admitir que desde o ataque, a 2 de janeiro,  a empresa "tem trabalhado com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança". Foram ainda "contratadas empresas especializadas para auxiliar os departamentos internos do Grupo IMPRESA".

"Este ataque tem dificultado seriamente a missão dos nossos órgãos de comunicação social e, por estar a limitar a nossa capacidade de informar, resulta num grave atentado à liberdade de imprensa. Tem requerido de todos os profissionais do Grupo um esforço extraordinário para tentar colmatar as dificuldades técnicas impostas", refere o texto.

Ransomware: Empresas portuguesas estão em risco permanente e é uma "questão de tempo” até serem atacadas
Ransomware: Empresas portuguesas estão em risco permanente e é uma "questão de tempo” até serem atacadas
Ver artigo

Tal como já tinha adiantado, a Impresa confirma que foi entretanto apresentada uma denúncia/queixa-crime no Departamento de Investigação e Ação Penal de Lisboa, contra incertos "pela prática de crimes de Terrorismo, Dano Relativo a Programas ou Outros Dados Informáticos, Sabotagem Informática, Acesso Ilegítimo, Acesso Indevido, Desvio de Dados e Destruição de Dados". Foi também notificado o incidente à Comissão Nacional de Proteção de Dados e à Comissão de Mercados e Valores Mobiliários.

"O objetivo do Grupo IMPRESA é continuar a resolver a situação e repor rapidamente a normalidade da respetiva atividade", refere o mesmo texto, lembrando que estão no ar sites provisórios, onde são publicadas as notícias que também são veiculadas pelas redes sociais. Segundo a Impresa, "os restantes sites do Grupo serão repostos de forma consistente e sucessiva"

No comunicado refere-se que está garantia a publicação da edição semanal do Espresso no sábado, "um número especial que assinala os 49 anos do jornal".

Dados dos assinantes e leitores comprometidos

Tal como se antecipava depois dos leitores e assinantes terem recebido mensagens com referências ao Lapsus$ Group, a Impresa admite que "Alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico", mas refere que não foram destruídos ou apagados das bases de dados.

A empresa afirma ainda que não há evidências de que os atacantes tiveram acesso às passwords, mas lembra que "sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes".

Também os dados dos cartões de crédito utilizados para a subscrição do Expresso e a assinatura da OPTO podem estar salvaguardados. "À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação", refere o comunicado.

Para reparar a violação de dados a Impresa diz que foi feita a "recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades".

Admite ainda que a equipa comercial vai divulgar nos próximos dias informação sobre a possibilidade dos leitores e assinantes serem ressarcidos pelo tempo que não puderam ter acesso aos serviços, mas pede a "compreensão necessária tendo em consideração que o ataque ainda se encontra em investigação e poderão surgir novas informações."

Pode ler aqui, na integram as perguntas e respostas publicadas sobre este ataque

1) Já sabem quem está por detrás e como teve lugar o ataque?

Tanto quanto foi possível saber, um grupo de atacantes (auto-identificados como“Lapsus$ Group”) realizou uma intrusão na rede interna, e utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do Grupo IMPRESA e outros serviços.

2) Os atacantes pediram algum resgate?

À data do presente comunicado, não foi efetuado qualquer pedido de pagamento (“resgate”).

3) O que foi feito para conter o ataque?

O Grupo IMPRESA envidou todos os esforços para a neutralização do ataque informático, tendo criado uma “task force” para a gestão do mesmo e acionado todas as medidas técnicas e procedimentos legais aplicáveis. Foi também contratada imediatamente uma empresa especializada em cibersegurança.

4) Recebi uma comunicação fraudulenta do Expresso intitulada «“Breaking” Presidente afastado e acusado de homicídio: Lapsus$ é o novo presidente de Portugal» e um SMS suspeito do Opto. O que devo fazer? E se voltar a receber comunicações desse género?

Deve apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo. Os atacantes podem explorar tais comportamentos para desencadear ações lesivas, como o “phishing” de credenciais.

5) Sou assinante do EXPRESSO e subscritor da Opto. Os meus dados pessoais foram acedidos pelos atacantes?

Alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico.

6) Os meus dados pessoais constantes das bases de dados de assinantes/utilizadores/subscritores dos meios e serviços EXPRESSO/SIC/OPTO foram destruídos ou apagados?

Não houve quaisquer dados pessoais de assinantes/utilizadores/subscritores que tenham sido destruídos ou apagados das referidas bases de dados.

7) Os atacantes tiveram acesso às passwords utilizadas para aceder ao Expresso e ao Opto?

À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes.

8) Os atacantes tiveram acesso aos dados do cartão de crédito utilizados para pagar a assinatura do EXPRESSO e a subscrição do Opto?

À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação.

9) Que medidas foram adotadas para reparar a violação de dados?

Foi, entre outras medidas, efetuada a recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades.

10) Enquanto assinante do EXPRESSO/subscritor da Opto, serei ressarcido pelo tempo em que não pude aceder a estes serviços?

A satisfação dos nossos assinantes e subscritores é uma prioridade para o Grupo IMPRESA. A nossa equipa comercial divulgará nos próximos dias mais informação sobre este assunto.

11) Com quem posso esclarecer todas as minhas dúvidas sobre a proteção dos meus dados pessoais?

Poderá dirigir questões relativas à proteção dos seus dados pessoais para o email privacidade.impresa@gmail.com . Seremos tão breves quanto possível, pedindo apenas a compreensão necessária tendo em consideração que o ataque ainda se encontra em investigação e poderão surgir novas informações.

Nota da Redação: Foi feita uma alteração no 5º parágrafo depois da Impresa ter alterado o ponto 1 do comunicado onde faz a explicação dos ataques.