O recente ataque de ransomware à Agência para a Modernização Administrativa (AMA) causou disrupções na sua rede, paralisando várias plataformas e serviços digitais geridos pela entidade, cujo acesso esteve, preventivamente, indisponível ao longo dos últimos dias.
No rescaldo do incidente, que continua a ser investigado pelas autoridades competentes, várias dúvidas foram levantadas, das possíveis motivações às consequências do ataque, e nos últimos dias, o surgimento de uma fuga de informação (ou leak) da Autoridade Tributária (AT) trouxe novos receios. Mas há ligação entre estes dois casos?
O Centro Nacional de Cibersegurança (CNCS) avança, numa nota enviada à imprensa, que o leak que tem sido mencionado publicamente “não está relacionado com o incidente que afeta as infraestruturas da AMA”.
“O leak em causa, constituído por grupos de credenciais expostas, resulta de atividade criminosa com recurso a infostealers e instrumentos semelhantes. A publicação deste tipo de leaks é algo que ocorre com alguma regularidade”, afirma, acrescentando que “a AT, sempre que tem conhecimento de grupos de credenciais expostas, tem como procedimento forçar a renovação de credenciais dos utilizadores visados”.
Como noticiado pelo Expresso esta semana, nove mil credenciais de acesso ao Portal das Finanças foram divulgadas, com a informação a fazer parte de uma lista que foi originalmente divulgada em agosto, mas que, entretanto, passou despercebida até agora. Ao semanário, o Ministério das Finanças avançou que os dados não resultaram de um ataque informático à AT.
À Exame Informática, David Russo, diretor executivo da Academia Nacional de Cibersegurança e CTO da CyberS3c.pt, explica que é preciso perceber que “neste caso, houve aqui uma grande coincidência, porque tivemos a AMA que teve o problema que teve, que ainda está a ser investigado, portanto não podem existir especulações”.
Por contraste, o leak em questão “foi a consequência da compilação de dados recolhidos através de um infostealer”, um tipo de malware “desenhado especificamente para recolher informações sensíveis dos dispositivos que estão comprometidos”. Este tipo de software malicioso é usado para “filtrar credenciais – dados pessoais, informações financeiras – ou seja, qualquer dado que possa ser vendido” por cibercriminosos.
Tal como detalha o responsável, “na maioria dos casos, não está sequer relacionado com a própria organização”. “Isto não significa que seja da própria organização, porque a mesma até pode ter regras muito específicas de segurança da informação, mas basta os utilizadores não terem consciência destes problemas e saírem deste ambiente protegido” para serem afetados por este tipo de ameaça.
“O Portal das Finanças não tem autenticação de duplo fator por alguma razão de implementação, mas acredito que estejam já a trabalhar nisso, bem como eles [AT] ativamente, mal souberam do leak procederam a forçar a alteração da password e como existem sistemas que estão a monitorizar acessos indevidos”, indica. “A AT, como tantas outras entidades, estão sempre a monitorizar e a perceber quando existe algum tipo de situação anómala. Mas, enquanto utilizadores, também temos uma quota-parte de responsabilidade”.
Como realça o responsável, “nós enquanto utilizadores também temos esta responsabilidade do nosso lado, que é a usarmos passwords diferentes para cada serviço, não reutilizá-las e usar um gestor de passwords e, acima de tudo, tentar manter o nosso computador, ou os locais onde metemos as nossas passwords, o mais ‘limpos’ possível, ou seja, ter uma navegação segura. Isto significa o quê? Não clicar em tudo, não fazer downloads ilegais, manter o software atualizado – ou seja, ter uma boa ciberhigiene”.
Ter este tipo de práticas é essencial para minimizar o impacto das ciberameaças e evitar que sirvamos “como intermediários para um cibercrime” ou que coloquemos outras pessoas à nossa volta em risco, destaca David Russo.
AMA sem “evidência de exfiltração de dados pessoais” até ao momento
No que respeita ao ataque de ransomware que afetou as infraestruturas da AMA, o CNCS indica que “o processo de análise forense e resolução deste incidente decorre a bom ritmo, tendo sido implementadas medidas paliativas e de reforço, que garantem a segurança adequada no restabelecimento dos serviços afetados”.
Em linha com a informação avançada pelo CNCS, o Ministério da Juventude e Modernização informa em comunicado que “até ao momento não existe evidência de exfiltração de dados pessoais”, acrescentando que o restabelecimento dos serviços está a ser progressivamente atualizado através de uma plataforma criada para o efeito. De acordo com o Ministério, espera-se que o portal Gov.pt “esteja totalmente recuperado até às 23h59 de dia 17/10”.
“A equipa envolvida na resolução do incidente continua a trabalhar de forma exaustiva, para garantir a reposição de todos os serviços, com as condições de segurança adequadas”, realça o Ministério da Juventude e Modernização. “A AMA está a seguir, de forma rigorosa, todos os procedimentos necessários para garantir a reposição dos sistemas de forma segura”, indica.
O incidente foi divulgado pela AMA no dia 10 de outubro. Embora, na altura, a entidade não tenha feito referência ao tipo de ataque sofrido, o CNCS deu conta de que foi notificado de um incidente de ransomware que comprometeu as infraestruturas geridas pela entidade e que teve um “impacto substancial” nos seus serviços.
O Ministério da Juventude e Modernização indica que, após a divulgação do incidente, a “AMA ativou, imediatamente, os protocolos de segurança para resposta a este tipo de ataques junto de autoridades nacionais competentes em matéria de cibercrime e cibersegurança, a Polícia Judiciária e o Centro Nacional de Cibersegurança (CNCS), respetivamente”.
Nos dias seguintes, e em colaboração com as autoridades competentes, a entidade procedeu ao reestabelecimento “progressivo e seguro” do atendimento nas Lojas do Cidadão, assim como do acesso a algumas das suas plataformas e serviços digitais.
Neste mesmo período, o incidente foi participado pela AMA à Comissão Nacional de Proteção de Dados (CNPD), cumprindo o prazo legal de notificação até 72 horas após a ocorrência, com o envio de um relatório, o qual relata a existência de uma violação nos seus sistemas e o desconhecimento de acesso ou exfiltração de dados pessoais.
Foram também implementadas “medidas preventivas e corretivas” para garantir a segurança no processo de restabelecimento de serviços afetados, que estão a ser reforçadas tendo em conta os resultados da análise forense que está a decorrer, avança o Ministério da Juventude e Modernização.
Já no dia 14 de outubro, após uma reavaliação do risco por parte do CNCS, “as entidades parceiras da AMA foram informadas de que as medidas implementadas garantem a segurança adequada no restabelecimento dos serviços afetados”.
Recorde-se que, tal como já foi alertado pela AMA num recente comunicado, “ressalva-se que no caso de existirem eventuais contactos, através de qualquer canal, com pedidos de informações pessoais para recuperação de credenciais da Chave Móvel Digital, estes devem ser ignorados”.
