Nomes, números de identificação fiscal, e-mails, palavras-passe, números de telefone, credenciais de acesso a terminais internos, cargos e até referências de localização. Estes são alguns dos dados roubados e expostos num fórum na dark web depois de um ataque informático a um portal associado à Altice Portugal.
Um utilizador publicou, num fórum na dark web, uma hiperligação que dá acesso a um ficheiro com dados pessoais do que parecem ser funcionários ou ex-funcionários da Altice Portugal – a quase totalidade dos e-mails pertencem ao domínio telecom.pt, detido pela Altice. Das informações apuradas pela Exame Informática, não parecem existir dados de clientes da operadora de telecomunicações nas informações agora divulgadas.
No entanto, o pirata informático terá tido acesso a muitas mais informações além daquelas que foram publicadas. Da listagem tornada pública, o autor do ataque terá tido acesso, no total, a 440 tabelas de informação – mas a Exame Informática só confirma a divulgação da informação de duas dessas tabelas.
Depois da publicação no fórum, frequentado por piratas informáticos e peritos de segurança informática, a informação sobre o ataque foi divulgada pelo investigador Soufiane Tahiri, que confirmou à Exame Informática a existência de dados sensíveis nas informações entretanto tornadas públicas.
A Exame Informática questionou a empresa sobre o ataque. A Altice não respondeu diretamente às questões colocadas, respondendo antes com uma declaração: “A Altice Portugal é diariamente alvo de centenas de ciberataques, dada a sua dimensão e setor em que opera. É do conhecimento público que este tipo de ataques ocorrem recorrentemente, tanto no setor das telecomunicações como em muitos outros. No atual momento nada de anormal se verifica relativamente ao atrás descrito, pelo que todas as operações e sistemas decorrem em perfeita normalidade na Altice Portugal”.
A porta de entrada
Segundo o autor da publicação que faz a exposição dos dados, os mesmos terão sido conseguidos através de uma técnica de ataque conhecida como SQL Injection. Esta é uma vulnerabilidade que permite ao atacante interferir com a informação que uma determinada aplicação ou website comunica com a base de dados associada. Na prática, este é um ataque que é possível fazer quando não existe um filtro, do lado do portal, para as informações introduzidas pelos utilizadores. Ao não existir este filtro, permite que, através da inserção de determinados caracteres, seja possível, a um atacante, manipular uma base de dados. Isto pode resultar, como neste caso, no roubo das informações contidas nessa base de dados.
“Todos os dados que são fornecidos para a base de dados devem ser filtrados”, sublinha o investigador de segurança informática Pedro Umbelino, num comentário à Exame Informática sobre a tipologia do ataque. “Não se deve utilizar nenhum tipo de dados que venha de um utilizador, sem assegurarmos que o utilizador não está a tentar controlar um comportamento da base de dados”, complementa.
Segundo a informação apurada pela Exame Informática, além do link que dá acesso aos dados, o autor da publicação também divulgou qual o portal a partir do qual os dados foram retirados e os parâmetros necessários para replicar o ataque. “Não sejas estúpido, usa VPN e TOR”, escreveu o autor da publicação. Ou seja, foi possível outros piratas informáticos que frequentam o fórum conhecerem o método para também eles extraírem as informações.
Segundo confirmou ainda a Exame Informática, o portal que foi alvo do ataque já não estava acessível no momento da publicação desta notícia.
