O grupo de hackers que atacou o grupo Impresa e sites como a SIC e o Expresso divulgou, num fórum relacionado com “dumps” de informações, uma informação relacionada com o acesso ilegítimo a dados do site parlamento.pt e de algumas plataformas Microsoft desta entidade.
Conhecido como LAPSUS, o grupo atacou há menos de um mês os sites do grupo Impresa e no passado estiveram envolvidos em ataques contra vários ministérios do Brasil e serviços de correios daquele país.
Na publicação ao qual o Tugaleaks e o TugaTech tiveram acesso, que pode ser encontrada aqui, eles pedem 15 mil euros, em Bitcoins, para a venda de toda a base de dados.
Em crítica ao parlamento, os hackers afirmam que o Parlamento “usa tecnologia Microsoft antiga, não mantida, aplicações fracas, má programação e más políticas de segurança”, dizendo que conseguiram “extrair bastante informação crítica dos servidores internos”.
Para quem é frequentador do fórum eles alegam que podem enviar acesso à backdoor (ou seja, ainda mantém acesso ao servidor) para comprovar e facilitar a venda.
Desconhece-se em concreto quais são os dados, no entanto no link enviado é possível encontrar passwords como “férias.2007” ou “intranet”, que são fáceis de encontrar e usar indevidamente.
O Tugaleaks tentou contactar o Parlamento, no entanto, considerando o dia em questão, dia de eleições, e o fim de semana, não recebemos qualquer resposta. Iremos atualizar este post quando e se existir uma resposta do parlamento.
Numa outra publicação no dia 28 de janeiro (há 2 dias atrás) o grupo anunciava ainda que tinha vários servidores IIS em Portugal, o que pode significar que o Parlamento não é o único site envolvido.
O que se pode fazer com estes dados?
Especula-se que a base de dados tenha efetivamente dados pessoais, uma vez que embora sem aceso á mesma tal seja impossível de prever, o facto é que o exemplo dado pelos hackers revela passwords que podem ser associadas a pessoas. Logo, é possível utilizar estas passwords noutros serviços, fazendo com que a falha possa escalar a serviços financeiros, telecomunicações, ou outros, da esfera pessoal dos afectados.
Grupo Imprensa ainda sem dados recuperados
Foi no dia 2 de janeiro que os sites do grupo Imprensa foram atacados. Passados dois/três dias, os sites ficaram online, com um site “temporário” para a publicação das notícias.
A comunidade de segurança informática debateu nas redes sociais os planos do disaster recovery e quanto tempo demoraria a Impresa a restaurar o site antigo, mas quase um mês depois ainda não existe o site antigo disponível.
O Tugaleaks contactou a CNPD que nos informou que “informa-se que empresas do Grupo Impresa notificaram à CNPD a Violação de Dados Pessoais prevista no artigo 33.º do RGPD”, ou seja, estiveram dados pessoais envolvidos ma brecha.
Queres denunciar alguma situação de forma anónima?
Utiliza o nosso formulário e envia a tua denúncia!
Foto: Publico
Atualização: o grupo indicado na notícia afirmou no seu canal oficial de telegram não ter sido o autor deste ataque, no entanto, o ataque parece legítimo, ainda que tenham sido utilizados os dados de um outro grupo para o evidenciar.
