PJ investiga ataque informático

A Polícia Judiciária abriu um inquérito para investigar o acesso ilegitimo a milhares de endereços de emails e às respetivas passwords de diversos funcionários da administração pública, envolvendo ministérios, Forças Armadas, parlamento, Ministério Público, Polícia Judiciária, juízes, Autoridade Tributária e Comissão Nacional de Eleições, de acordo com a revista Sábado que avança com a notícia na edição desta semana. Além dos organismos públicos, também empresas privadas como bancos, sociedade de advogados, clubes de futebol e órgãos de comunicação social foram atingidos.

"Há um inquérito aberto pela UN3CT (Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica) para averiguar como foram obtidos esses dados, como foi o acesso", disse ao DN Pedro do Carmo, diretor nacional adjunto da PJ. O responsável escusou-se a dar mais pormenores sobre a investigação, adiantando apenas que a situação "não é recente e a informação já circula há algum tempo."

Segundo a Sábado, estes endereços terão sido recolhidos nos últimos anos em ataques a redes sociais e em outros sítios na Internet que impliquem um registo com um email e uma password.

Segundo as listas a que a revista Sábado teve acesso, estarão a circular na internet endereços e 'passwords' de funcionários de várias áreas da administração pública: Ministérios, Forças Armadas, parlamento, Ministério Público, PJ, juízes, Autoridade Tributária e Comissão Nacional de Eleições, mas também bancos, hospitais, transportadoras, sociedades de advogados, empresas do PSI20 e também comunicação social.

Sócrates, Passos e ministérios atingidos

A revista avança que "identificou 1.046 endereços de email terminados em 'gov.pt' repartidos por diversas áreas, incluindo 15 que pertenceram ao gabinete dos ex-primeiros-ministros José Sócrates e Pedro Passos Coelho; 42 da Presidência do Conselho de Ministros; 36 do Ministério da Defesa Nacional; 99 do Ministério dos Negócios Estrangeiros e 330 do Governo Regional dos Açores".

Na lista estarão também "emails e palavras-passe de nove pessoas que trabalham no Centro de Gestão de Rede Informática do Governo (CEGER), organismo responsável pela rede informática que serve o executivo e o apoia nas comunicações e nos sistemas de informação".

Há ainda dados de funcionários e titulares políticos autárquicos e empresas como a CP -- Comboios de Portugal, TAP, EDP e Rede Elétrica Nacional

Os endereços "terão sido recolhidos nos últimos anos em ataques a redes sociais e em outros sítios na Internet que impliquem um registo com um email e uma 'password'".

A Sábado adianta que as duas listas estão a circular na chamada 'dark net' -- uma parte da Internet que só é acessível através de um 'software' específico -- com as designações 'Exploit.in' e 'Anti-Public'.

"Segundo o centro de cibersegurança da Nova Zelândia, a primeira lista terá sido compilada em meados de 2016 e a segunda começou a circular no final do mesmo ano. No entanto, só terão sido detetadas em maio de 2017", escreve a revista.

Mil milhões de endereços e 'passwords'

Ao todo, as listas "têm mais de mil milhões de endereços e 'passwords' recolhidas nos últimos anos a ataques a redes sociais como o Facebook, Linkedin e Twitter ou a 'sites' de armazenamento de dados como o Dropbox ou outros que impliquem um registo".

O objetivo dos piratas informáticos, de acordo com a Sábado, "é recolher as credenciais para verificar se os proprietários as usam, como é vulgar, em diferentes sistemas. Ou seja, ao recolherem a 'password' utilizada para entrar numa rede social, os 'hackers' poderão depois entrar diretamente no email e obter a informação que lá está guardada se a senha utilizada for a mesma".

Não é a primeira vez que a unidade especializada da PJ investiga o acesso ilegítimo a dados informáticos. Em fevereiro de 2015, a maior operação de sempre, a C4R3T05 (Caretos), levou à detenção de oito suspeitos e constituía 17 arguidos. A 4 de maio de 2016 aconteceu a fase II: foram feitas mais 16 buscas a casas de piratas informáticos, em Lisboa, Porto e Braga, e constituídos 14 arguidos. Nesta não houve detidos. A Procuradoria-Geral da República e a própria PJ foram alvos destes "piratas" informáticos.

(Atualizada às 12:30 de dia 21, com mais dados divulgados pela Sábado)

* com Lusa