Ciberataque à TAP: o que disse a empresa (e o que aconteceu depois)
TAP disse em agosto não ter indícios de roubo de dados de clientes. Agora, exposta a informação privada de 1,5 milhões de passageiros, a TAP garante que não houve acesso a dados de pagamentos.
Num ano marcado por ciberataques mediáticos, a TAP é a vítima mais recente, depois de um grupo de hackers ter publicado material confidencial que roubou à empresa. Foi esta segunda-feira que os hackers cumpriram o que tinham prometido – segundo o Expresso, a informação privada de 1,5 milhões de pessoas foi exposta na internet, incluindo nomes, moradas e até alegados acordos comerciais da companhia.
A TAP está em modo de gestão de crise, à medida que tenta conter o impacto reputacional do problema e travar os efeitos secundários da fuga de informação. Mas as declarações divulgadas pela TAP no início desta crise mostram que a empresa não esperava um problema desta dimensão, mesmo depois de ter percebido que tinha sido vítima de um ataque informático.
Tudo começou a 26 de agosto, quando a TAP assumiu publicamente ter sido “alvo de um ciberataque na noite” do dia anterior. Contudo, à luz da informação que tinha na altura, a empresa mostrava-se confiante de que não haveria razões para mais preocupação. A companhia afirmou que “os mecanismos de segurança da TAP foram prontamente acionados e os acessos indevidos bloqueados”. Mas foi ainda mais longe, reiterando: “Não foi apurado qualquer facto que permita concluir ter havido acesso indevido a dados de clientes.”
Dias depois, começavam a surgir sinais de que o problema da TAP era bastante maior do que a empresa tinha entendido no início. A 31 de agosto, a empresa reconhecia: “Estão hoje a ser divulgadas alegações de um grupo organizado de crime informático de que terão sido roubados dados de clientes. A TAP continua a adotar, com o apoio de uma entidade externa internacional e em articulação com as autoridades, todas as medidas de contenção e remediação adequadas para proteger a empresa e os seus clientes.”
Uma fonte familiarizada com os desenvolvimentos explica ao ECO que, depois, os hackers tornaram pública a informação de uma primeira leva de cerca de nove mil clientes. Ao confirmar a intrusão, a TAP começou a notificar as vítimas.
Uma notícia avançada pelo Observador a 7 de setembro dava conta do teor do aviso que estava a ser feito a esses clientes. “A divulgação de dados pessoais através de meios públicos pode aumentar o risco do seu uso ilegítimo, nomeadamente para obter outros dados que possam ser usados para comprometer sistemas informáticos com fins fraudulentos (phishing)”, lê-se na mensagem, a que o ECO também teve acesso.
A 13 de setembro, o Público noticiou que os hackers publicaram os dados pessoais de 115 mil clientes da companhia aérea, incluindo de 19 pessoas que se presume terem ligações governamentais, por estarem registadas com endereços de email associados ao Governo português.
Citado pelo jornal, o grupo que reivindicou o ciberataque, conhecido por Ragnar Locker, deixava algumas provocações: “Há vários dias, a TAP fez um comunicado de imprensa onde afirmava com confiança que repeliu com sucesso o ataque cibernético e nenhum dado foi comprometido”. “Querem que publiquemos 100 a 300 mil [dados pessoais] por dia? Ou que publiquemos simplesmente, daqui a alguns dias, a base de dados total com cerca de 500 gigabytes onde incluímos não só a informação pessoal de 1,5 milhões de clientes, mas também bastantes ficheiros internos da empresa?”, acrescentavam os impostores.
Face a estas informações, a comunicação externa da TAP voltou a entrar em cena, já assumindo publicamente que, de facto, tinha havido uma fuga de informação. A empresa repetia ainda três garantias: que “foram desencadeadas as medidas e procedimentos apropriados de cibersegurança para este tipo de eventos”; que “as medidas adotadas permitiram garantir a integridade dos dados e a operacionalidade, em segurança, de todos os sistemas” da companhia”; e que os hackers publicaram dados de “um número limitado de clientes”.
Não foi apurado qualquer facto que permita concluir ter havido acesso indevido a dados de clientes.
Num ataque deste tipo, conhecido por ransomware, os atacantes apoderam-se da informação privada de uma empresa e exigem negociar um resgate em troca da mesma – normalmente, na ordem dos milhares ou milhões de euros, pagos em criptomoedas como a bitcoin. Tudo indica que a TAP não quis negociar com os hackers, seguindo, assim, as recomendações das autoridades e da generalidade dos especialistas, dado o efeito adverso de incentivar este tipo de ataques, e de nada garantir que os atacantes eliminam mesmo a informação. A própria CEO da TAP disse esta semana: “Não estamos dispostos a recompensar este comportamento de maneira alguma.”
Só que o prejuízo estava feito. No dia 19 de setembro, o Expresso noticiou que a informação roubada à TAP foi mesmo publicada na internet pelos atacantes: uma base de dados digital com pelo menos 581 GB de informação. Esta, que é já uma das maiores fugas de informação dos últimos anos em Portugal, deixa estes clientes da TAP expostos a possíveis ataques secundários, por via do envio de mensagens falsas ou roubo de passwords, como admite a própria empresa.
Esta quarta-feira, 21 de setembro, a TAP acabou por tornar público um conjunto de perguntas e respostas sobre o incidente. “Os atacantes conseguiram aceder ilegitimamente à informação pessoal de alguns clientes”, assume a companhia aérea. “As seguintes categorias de dados pessoais de alguns clientes da TAP foram expostas: nome, nacionalidade, género, data de nascimento, morada, email, telefone de contacto, data de registo e número de passageiro frequente. A informação para cada cliente afetado pode variar”, acrescenta também, como já tinha dito em privado, nas notas enviadas aos clientes.
A TAP tenta também tranquilizar os passageiros: “Não há indícios de que dados de pagamento tenham sido exfiltrados dos sistemas da TAP.“ E, até à publicação desta notícia, continuava a não existir qualquer sinal de que tal possa ter acontecido. Mas a garantia fica prejudicada pelas declarações da TAP no início desta crise, quando assumiu que não tinha sido “apurado qualquer facto que permita concluir ter havido acesso indevido a dados de clientes”.
As declarações acabaram por ser criticadas por Jorge Bacelar Gouveia, presidente do Observatório de Segurança, Criminalidade Organizada e Terrorismo. Na RTP3, no dia 20 de setembro, o especialista atirou: “Afinal, aquilo que a TAP disse há uma semana não veio a verificar-se ser a verdade. Pelos vistos, ainda é pior. Estão a ser divulgados na dark web dados da maior delicadeza, de pessoas, violando a segurança e privacidade pessoal das pessoas, mas mais do que isso. Dados de natureza comercial”, defendeu.
Interrogado, depois, acerca da afirmação da TAP de que a operação está a decorrer com normalidade, Bacelar Gouveia retorquiu: “Isso é um discurso que admito que seja normal, mas para além disso, julgo que não é verdade. As operações podem estar a decorrer com normalidade, mas não estamos a ter segurança pessoal nos nossos dados privados, não está a haver segurança comercial e pode haver um risco de segurança aérea.” “Se calhar, é melhor a TAP não dizer mais nada”, rematou.
No vídeo publicado esta semana nas redes sociais, a CEO da TAP, Christine Ourmières-Widener, lamenta a situação e pede desculpa aos passageiros. “Infelizmente, os hackers conseguiram descarregar alguns dados do nosso servidor protegido”, explica. “Por favor, aceitem as nossas sinceras desculpas por qualquer inconveniência que isto vos esteja a causar.”
Tweet from @tapairportugal
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Ciberataque à TAP: o que disse a empresa (e o que aconteceu depois)
{{ noCommentsLabel }}