Os Correios de Portugal (CTT) confirmaram que a plataforma de entregas Locky foi alvo de um ataque informático que resultou no roubo de dados. A empresa garante que a exposição de informação dos clientes afetados é limitada, mas o incidente levanta questões importantes sobre a segurança de serviços digitais que milhões de portugueses utilizam no dia a dia.
O que aconteceu, em linguagem simples
Pensemos num cofre partilhado onde várias pessoas guardam os seus pacotes antes de os levantar. Se alguém conseguir entrar nesse cofre sem autorização, tem acesso não só aos pacotes, mas também às etiquetas com os nomes e moradas de quem os enviou e de quem os vai receber. Foi algo semelhante ao que aconteceu com o Locky, o serviço de gestão de entregas e encomendas dos CTT.
Um grupo de atacantes conseguiu penetrar nos sistemas da plataforma e extrair dados. Os CTT referem que a informação comprometida é de natureza limitada, o que na prática significa que, aparentemente, não foram expostos dados bancários completos nem palavras-passe, mas sim informação de identificação associada ao serviço de entregas.
Que dados podem ter sido afetados
De acordo com as informações divulgadas, os dados em causa poderão incluir nomes, endereços de entrega, contactos telefónicos e endereços de correio eletrónico de clientes que utilizaram o Locky. Este tipo de informação pode parecer pouco sensível à primeira vista, mas nas mãos erradas funciona como matéria-prima para ataques de engenharia social, ou seja, esquemas de burla que usam dados reais para parecerem legítimos.
Um exemplo concreto: se alguém receber uma mensagem de texto a dizer “A sua encomenda Locky está retida, clique aqui para pagar a taxa de alfândega”, e os atacantes souberem que essa pessoa usa efetivamente o serviço, a probabilidade de cair no esquema aumenta significativamente. É o chamado phishing direcionado, muito mais perigoso do que as tentativas genéricas.
O que os CTT dizem estar a fazer
A empresa afirmou ter notificado as autoridades competentes, incluindo a Comissão Nacional de Proteção de Dados (CNPD), conforme exige o Regulamento Geral sobre a Proteção de Dados (RGPD). Este regulamento obriga as organizações a reportar violações de dados no prazo de 72 horas após tomarem conhecimento do incidente, sob pena de sanções significativas.
Os CTT sublinham ainda que estão a contactar diretamente os clientes afetados para os alertar e que reforçaram as medidas de segurança nos seus sistemas. A transparência neste processo é, aliás, uma obrigação legal e não apenas uma opção de relações públicas.
Por que é que este incidente importa além dos CTT
Este caso é mais um sinal de que nenhum serviço digital está imune a ataques, independentemente da sua dimensão ou reputação. Os grupos de cibercrime atuais não escolhem alvos de forma aleatória: identificam plataformas com grandes bases de utilizadores e atacam precisamente porque o volume de dados disponível tem valor comercial no mercado negro da internet.
Em Portugal, onde a digitalização dos serviços postais e de logística cresceu de forma acelerada nos últimos anos, especialmente após a pandemia, o número de utilizadores de plataformas como o Locky é considerável. Isso torna este tipo de incidente relevante para uma fatia alargada da população.
O que os utilizadores devem fazer agora
Mesmo que os CTT garantam uma exposição limitada, é sempre prudente adotar medidas preventivas. Em primeiro lugar, importa estar atento a mensagens suspeitas, seja por SMS, email ou chamada telefónica, que invoquem os CTT ou o Locky como remetente. Em caso de dúvida, o mais seguro é aceder diretamente ao site oficial e nunca clicar em ligações recebidas por mensagem.
Em segundo lugar, recomenda-se alterar a palavra-passe associada à conta Locky, especialmente se essa mesma palavra-passe for usada noutros serviços. A reutilização de palavras-passe é um dos erros mais comuns e um dos mais explorados por atacantes. Um gestor de palavras-passe é uma ferramenta acessível que resolve este problema de forma prática.
Por último, ativar a autenticação em dois passos sempre que o serviço o permita adiciona uma camada extra de proteção que torna o acesso não autorizado muito mais difícil, mesmo que a palavra-passe seja conhecida por terceiros.
A segurança digital é uma responsabilidade partilhada
Incidentes como este recordam que a proteção de dados não é apenas uma preocupação das empresas. Os utilizadores têm também um papel ativo: usar credenciais únicas e robustas, estar alerta a tentativas de fraude e manter os dispositivos atualizados são hábitos que reduzem consideravelmente o risco de ser afetado pelas consequências de um ataque informático, mesmo quando o problema tem origem numa plataforma de terceiros.
O caso Locky não é o primeiro nem será o último do género em Portugal. O que muda, com cada incidente que se torna público, é a consciência coletiva sobre a importância de tratar os dados pessoais com o mesmo cuidado com que se trata um documento de identidade físico.
Fonte: Notícia Original
