O website do Sindicato Independente Livre Da Polícia (SILP) foi vítima de um ciberataque, sendo utilizado a sua imagem e nome em esquemas de phishing. O website do sindicato foi detetado num fórum de hackers, monitorizado pelo SOCRadar com a possibilidade da sua base de dados ter sido partilhada publicamente, incluindo emails de autenticação.

Em declarações ao SAPO TEK, Paulo Monteiro, presidente da direção do sindicato confirmou que houve uma ocorrência que estava a ser investigada internamente e que estava a ser preparada uma denúncia à Polícia Judiciária. “Não sei em concreto o que aconteceu, não está ligado a nós ou que fosse qualquer cidadão que exerça funções na nossa associação que tenha praticado estes factos. Mas estamos a apurar em concreto o que aconteceu”.

Paulo Monteiro confirmou que algo aconteceu ao website e foram utilizados o nome e imagem “para cometer algo ilícito contra pessoas, mas não sabemos ainda em concreto o que aconteceu”, refere. “À partida, tudo indica que será uma situação de phishing ou outra forma de atacar o nosso site”, mas que os técnicos de informática ainda estão a investigar. Questionado sobre se os hackers conseguiram entrar no website, o presidente do sindicato garante que não, "não conseguem porque a segurança que nós temos, só uma pessoa consegue".

A mensagem partilhada no fórum esta terça-feira, dia 28 de fevereiro, continha emails de pessoas, (que o presidente da associação posteriormente confirmou que realmente são de associados da SILP). Continham ainda dados dos equipamentos, sistemas operativos e versões dos browsers e alegadamente um ficheiro SQL com dados com um peso de 22,6 MB. Paulo Monteiro garantiu ao SAPO TEK que não poderia ter havido partilha de dados porque não conseguem entrar no seu website, mas afirma que os informáticos ainda estavam a averiguar se houve realmente fuga. Paulo Monteiro ainda apenas tinha tomado conhecimento dos factos alguns minutos antes de falar com o SAPO TEK.

Sindicato Independente Livre da Polícia

Foi explicado ao SAPO TEK que "à partida, a nível de segurança, ninguém terá conseguido entrar, em função dos padrões de segurança que temos, e não há dados que possam ter sido partilhados, porque não temos lá dados típicos, pois não é uma base de dados, é uma base de partilha de informações que está bloqueado e apenas quem é associado consegue efetivamente entrar, porque eu não confio na Internet", salientou Paulo Monteiro. Reforça ainda que o esquema não está relacionado com o sindicato, alertando as pessoas pelo nome e imagem que está a ser utilizado, de qualquer conduta que esteja a ser praticada. Paulo Monteiro disse ainda que estava a preparar a exposição para enviar para a PJ e verificar se os emails partilhados correspondem a associados.

Num contacto posterior para esclarecer o SAPO TEK de que os dois emails partilhados eram dos associados, Paulo Monteiro refere ter já falado com as vítimas e explicou como funciona o website. "O usuário tem de introduzir o seu endereço de correio eletrónico para se poder registar. Com administrador, o que faço é ver se aquele endereço consta na nossa lista de associados, sendo contactado o mesmo para confirmar se foi ele que se registou ou não". Com este sistema pretende controlar a informação que está dentro do website, garantindo que este não tem dados pessoais. Toda a informação é reservada aos associados registados.

A sua explicação é que os associados visados podem ter feito o uso do website como normalmente, "e ao que parece, conjugado com isto, os telefones deles, de alguma forma, estavam a ser controlados, por um hacker, ou seja o que for, que conseguiu associar o endereço deles ao nosso website". Na sua visão, a mensagem partilhada no fórum de hackers poderá ter tido o objetivo de informar outros utilizadores maliciosos de que os respetivos endereços eram os mais vulneráveis a ataques para atacar o website da associação.

Para já só tem a informação da partilha dos dois endereços partilhados no fórum, que pelos seus cálculos terá sido realizado por volta das 4 da madrugada de terça para quarta. "Perguntei o tipo de utilização que fizeram, para tentar perceber o que terá acontecido, e confirmaram-me que fizeram a utilização normal do site", sugerindo que os computadores dos associados pudessem estar infetados com algo que controlasse o que os associados fizessem.

Paulo Monteiro esclareceu ainda que não existem quaisquer danos no website da SILP, mas deixa o alerta à população e associados para verificarem bem o endereço (silp-sindicato-psp.pt/) de possíveis comunicações, pois pode estar a ser utilizado a imagem e nome da associação "e pensar que estão a falar com o sindicato, mas no fundo estão a dar dados a um hacker, aquilo que chamam de phishing. Se virem algo de anormal que contactem as autoridades de participar aquilo que foi remetido". Explica que qualquer agente da PSP ou GNR consegue ajudar a despistar rapidamente se é falso ou não. Afirma ainda que com estes emails não há forma dos hackers entrarem no sistema do website,  porque é o único administrador. "Através dos procedimentos de segurança, apenas eu ou alguém que me roube ou me mate consegue entrar". Garante que a associação é completamente alheia à possível esquemas de phishing que estejam a ser feitas em seu nome.

Emails dos polícias poderão ter sido expostos

O SAPO TEK falou com Rui Martins, da Iniciativa Cidadãos pela Cibersegurança, para uma perspetiva do que poderá ter acontecido com o website da associação de polícias. O especialista diz que Portugal tem registado um aumento de tentativas de phishing desde que foi anunciado o envio dos veículos militares para a Ucrânia, tornando-se assim um alvo de ciberataques russos, “o que poderá fazer parte deste contexto”. Rui Martins diz que quantos mais ataques de phishing acontecerem, mais sucessos são prováveis de acontecer.

Rui Martins diz que o que está na Darkweb é um ficheiro SQL de 22,6 MB, que é de um tamanho considerável. E considerando a confirmação que os dois emails expostos foram confirmados pela associação de que pertencem efetivamente a dois associados, isso poderá significar que toda a base de dados poderá ter sido comprometida. “Todos os campos têm prefixos que achei estranho, “arm_username” e de facto, indo ao website dos polícias, se passarmos o rato por cima do botão de entrar e fizer inspecionar o código, está lá que o botão também é prefaciado com o mesmo arm_”.

O especialista diz que se trata de uma base de dados que os polícias utilizam para aceder no website. “O que foi atacado foi o SQL que está por trás do website, ou seja, não me parece que tenha sido um ataque de phishing”. Afirma que quem entrou no website teve acesso à base de dados e puxo-a para fora. “Se dizem que tiveram um ataque de phishing, poderá ser outro incidente não relacionado com este”, acrescenta. Para Rui Martins, os hackers conseguiram quebrar a segurança do website e obtiveram a base de dados SQL que está lá. “Ou através do SQL Injection, ou através da exploração da plataforma onde o website está alojado. É um ataque ao website, clássico e não phishing”.

Os dados acedidos, neste caso os emails os utilizadores, são considerados sensíveis, “um contacto de um agente da autoridade, é informação interessante para algumas pessoas e isso é importante”. No entanto, salienta que alguém conseguiu mesmo entrar neste sistema onde está alojada a base de dados. “É bom que se faça uma auditoria profunda do que é têm”. Rui Martins diz que este tipo de situações, de alguém entrar na rede, não acontece de um dia para o outro. Muitas vezes estão 120 dias a meio ano. Mesmo que tenham detetado uma máquina comprometida, outras máquinas poderão estar também infetadas ao longo do tempo.

O SAPO TEK pediu também mais informações e esclarecimentos ao CNCS e à PJ e aguarda informações sobre o caso no fecho da notícia.

Nota de redação: Notícia atualizada com a confirmação do presidente do sindicato de que os emails partilhados eram, de facto, dos seus associados e mais informações. E com as declarações de Rui Martins, da Iniciativa Cidadã sobre o possível roubo da base de dados dos polícias.

Última atualização 16h18.