CTT confirma roubo de dados do Locky, mas assegura exposição limitada de dados dos clientes afetados
Um cibercriminoso divulgou no BreachForums uma base de dados supostamente obtida do serviço de cacifos Locky dos CTT, contendo informações sobre clientes, infraestrutura interna e credenciais de funcionários. A empresa já reconheceu o incidente.
Os CTT confirmaram um incidente de segurança cibernética que resultou na exposição de dados de clientes do serviço de cacifos Locky, após um hacker ter comunicado a liberação de uma base de dados da referida empresa. O hacker, conhecido como Boogeymann Hoboper, fez o anúncio no BreachForums, um dos principais espaços online dedicados ao cibercrime, onde hackers trocam, vendem e disponibilizam dados obtidos de forma ilícita.
Mantenha-se informado sobre as principais novidades em tecnologia eacompanhando tudo no tek.sapo.pt
De acordo com o próprio hacker, os dados acessados incluem nomes, números de telefone, endereços de e-mail, identificadores de pacotes e registros temporários de levantamentos de mais de um milhão de clientes. Também foram coletadas informações sobre as especificações e configurações dos 1.890 cacifos da rede Locky disponíveis em Portugal, além de endereços IP internos, tipos de máquinas, identificadores de cacifos e versões do software de backend.
O hacker oferece o acesso ao conteúdo através de cinco links, totalizando cerca de 500 megabytes de dados. Em um comunicado ao TEK, os CTT confirmaram a ocorrência do incidente. A empresa afirma que a situação já foi contida, assegurando que “o sistema não foi comprometido, e o serviço Locky continua a funcionar.”
Os CTT ainda afirmam que “a informação em questão refere-se exclusivamente a dados de contato para notificações de entregas,” adicionando que “não estão envolvidos dados como endereços completos, senhas ou informações financeiras.” A companhia também mencionou que “o Centro Nacional de Cibersegurança já foi informado e os clientes afetados serão contatados pelos canais oficiais, para esclarecimentos e acompanhamento personalizado.”
Contudo, até o momento desta notícia, esse contato ainda não havia ocorrido, levantando questões legais. Vale lembrar que, de acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD), as organizações têm a obrigação de notificar os titulares dos dados afetados sem demora injustificada.
Os pormenores do roubo de dados
A extensão real do incidente pode ser muito maior do que o que foi comunicado pelos CTT. Informações adicionais que circulam na rede social X apontam para a exposição das credenciais de 565 funcionários que possuem e-mails @ctt.pt. No total, foram coletados dados de 6.746 máquinas que estavam contaminadas com credenciais dos CTT salvas em navegadores, assim como registros de 10.163 clientes que estavam em logs de stealers, um tipo de malware que se especializa no roubo silencioso de credenciais e informações sensíveis.
Além disso, foram identificados 13 subdomínios dos CTT em navegadores comprometidos, que cobrem autenticação federada, uma solução de autenticação única, certificada para uso em vários serviços. Relatos também indicam que foram coletados 35.392 cookies persistentes, dos quais 5.381 ainda eram válidos na data do anúncio e 92 tinham validade superior a 180 dias, o que permite acesso a contas sem a necessidade de senha ou autenticação multifator. Entre as 1.174 senhas identificadas, 84% estavam em texto simples.
Especialistas alertam que este tipo de roubo facilita ataques de phishing extremamente convincentes, utilizando os dados de clientes que foram expostos. Neste caso específico, informações reais sobre pedidos, datas de entrega e identificadores de pacotes podem ser utilizadas para criar mensagens fraudulentas quase indistinguíveis das comunicações legítimas dos CTT.
Os usuários do serviço Locky são aconselhados a estar especialmente atentos a qualquer comunicação inesperada relacionada a pedidos, seja por SMS, e-mail ou qualquer outra via. Ao receber um contato, os usuários devem evitar clicar em links ou responder a solicitações de pagamento sem primeiro verificar a autenticidade da fonte por meio dos canais oficiais dos CTT.
