Hackers acusam a TAP de “ter tentado fazer tudo, menos proteger os dados dos consumidores". Companhia aérea diz ter cumprido "todos os procedimentos legais" nos tempos previstos
A TAP pode vir a ter de pagar centenas de milhões de euros em indemnizações ao regulador e aos clientes lesados, após um grupo de hackers Ragnar Locker ter divulgado, esta segunda-feira, na sua página da deep web, 581 gigabytes de dados que garante pertencerem a 1,5 milhões de clientes da TAP, segundo avançou o jornal Expresso. Em causa estão as moradas, números de telefone e nomes de clientes, bem como vários dados de profissionais da empresa e acordos comerciais da companhia aérea, que se terá recusado a pagar o resgate exigido pelos criminosos.
Em declarações à Lusa, a TAP já reagiu e garante que diz não ter qualquer indicação de que os piratas tenham acedido a informações sensíveis dos seus clientes, como dados de pagamento. Recorde-se que, no passado dia 26 de agosto, a TAP garantiu ter repelido com sucesso o ataque informático. No dia 31 de agosto, os Ragnar Locker reivindicaram o ataque.
Na publicação onde os dados da companhia foram publicados, os hackers garantem que continuam a ter acesso à rede interna da companhia aérea de bandeira portuguesa. “O mais interessante é que a TAP ainda não resolveu as vulnerabilidades na própria rede e este tipo de problema pode acontecer outra vez. Já agora, se alguém precisar de um acesso remoto à TAP, digam-nos qualquer coisa”, escreve o grupo no seu blog na deep web.
Vários domínios que constam na base de dados divulgada de clientes têm contas de email “gov.pt”, indicando pertencer a instituições governamentais portuguesas. Além disso, vários endereços electrónicos de entidades governamentais de outros países também estão expostos na lista. A TAP diz ainda que a informação afetada relativamente a cada cliente "pode variar", mas sublinha que, "até ao momento, não há indicação de que informações sensíveis, em particular dados de pagamento, tenham sido exfiltradas".
Contactada pela CNN Portugal, a TAP explica que está a trabalhar em estreita coordenação com a Polícia Judiciária, Centro Nacional de Cibersegurança e com a Microsoft, para tentar perceber o onde surgiu a falha de segurança que permitiu o acesso à rede e como travar futuros danos por parte do grupo criminoso. A empresa insiste ainda ter comunicado às Centro nacional de Cibersegurança e à Comissão Nacional de Proteção de Dados “nos tempos legalmente previstos”. “A TAP está em cumprimento de todas as obrigações legais no que toca aos procedimentos”, garante fonte da empresa.
Ao jornal Expresso, a Comissão Nacional de Proteção de Dados (CNPD) confirma que abriu um processo com o objetivo de averiguar o ciberataque dos Ragnar Locker contra os sistemas da TAP. A CNPD também confirma que recebeu uma notificação da transportadora aérea, como determina o Regulamento Geral de Proteção de Dados (RGPD) para este tipo de incidentes.
Apesar de ainda ser cedo para falar em processos legais contra a empresa, os especialistas alertam que a sensibilidade dos dados disponibilizados e o facto de existirem clientes lesados no estrangeiro, pode levar ao surgimento de vários processos contra a empresa por incapacidade de proteger os dados dos seus clientes, à semelhança do que aconteceu com outras empresas, como é o caso da easyJet que foi obrigada a pagar até duas mil libras a cada cliente, após os dados de nove milhões de clientes, incluindo os dados financeiros, terem sido tornado públicos, em 2020.
“A TAP pode esperar centenas de milhões de euros em indemnizações. Mais de um milhão de lesados, mais os processos que podem ser interpostos pelos reguladores internacionais de clientes afetados no estrangeiro, pode vir a ter um impacto gigantesco”, afirma a advogada especialista em Proteção de Dados, Elsa Veloso.
Recorde-se que este caso acontece numa altura em que o Governo português já expressou publicamente a vontade de avançar com a venda de mais de 50% da TAP ainda este ano, com a Air France/KLM e com a Lufthansa como as principais candidatas a avançar com a compra. A CNN Portugal tentou contactar o Ministério das Infraestruturas para o questionar sobre possíveis efeitos deste incidente na venda da empresa, mas não obteve qualquer resposta. Fonte da companhia aérea afirma que essa questão não se coloca neste momento.
Estes valores vão depender do número de falhas na proteção de dados encontradas pelas autoridades e de quem interpõe o processo. Na União Europeia, o recorde vai para a Amazon, que foi multada em 746 milhões de euros no Luxemburgo. Em Portugal, as coimas são mais brandas, sendo que a multa mais elevada foi aplicada pela CNPD foi à Câmara Municipal de Lisboa, no valor de 1,2 milhões de euros, pelo processo que ficou conhecido como Russiagate, pelo envio de dados pessoais de manifestantes contra o regime de Moscovo à embaixada russa.
Sob o regulamento europeu de proteção de dados, as autoridades que regulam a proteção de dados na Europa têm a capacidade de multar empresas em até 4% das suas receitas globais anuais.
Os hackers acusam a TAP de “ter tentado fazer tudo, menos proteger os dados dos consumidores, numa tentativa de esconder a verdade, até chegaram a atacar os nossos recursos”, sublinhando que todos os dados pessoais a que os piratas tiveram acesso “não estavam encriptados”. O grupo vai mais longe e acusa a empresa nacionalizada em julho de 2020 de ter tentado “esconder o incidente”, levando à publicação “de absolutamente toda a informação” da companhia aérea.
“O mais interessante é que não arranjaram as vulnerabilidades na sua própria rede e que problemas como este podem voltar a acontecer”, alega o grupo de cibercriminosos.
O aviso aos clientes afetados pelo ataque informático só aconteceu no dia 13 de setembro. No email, a companhia indicou que “foram tomadas de imediato medidas de contenção e remediação para proteger os dados dos clientes”, informando que “os ‘hackers’ publicaram as seguintes categorias de dados em relação a um número limitado de clientes, entre os quais se inclui: nome, nacionalidade, género, morada, email, contacto telefónico, data de registo de cliente e número de passageiro frequente”.
Nuno Mateus-Coelho, especialista em cibersegurança, critica a reação da empresa, que deveria ter sido mais rápida a reagir ao ataque e comunicado aos seus clientes com maior celeridade, para que estes pudessem estar atentos às suas contas. Além disso, o especialista alerta que estes dados podem permitir que grupos de criminosos utilizem a informação para forjar identificação.
“Identidades falsas são a maior preocupação, mas preocupa-me que os hackers digam que ainda tenham acesso à rede. Se eles tiverem acesso, significa que ainda existe possibilidade de terem acesso aos dados dos cartões de crédito e aí a situação torna-se muito mais complexa”, explica.
