Ciberataque à Vodafone: lições e consequências

O ataque informático à Vodafone, iniciado no final do dia 7 de fevereiro de 2022 (segunda-feira), revelou-se em toda a sua dimensão na manhã seguinte, uma vez que milhões de pessoas em Portugal foram afetadas, de forma direta ou indireta. A situação de maior impacto foi a limitação ou indisponibilidade total de serviços de voz, SMS e dados móveis dos clientes Vodafone, afetando portanto cerca de quatro milhões de pessoas.

Embora os serviços tenham sido gradualmente repostos, a começar pelas ligações de voz e dados móveis, o facto é que, na prática, quase metade da população portuguesa ficou sem telemóvel na manhã de 8 de fevereiro.

Esse impacto direto dominou as conversas e as preocupações da opinião pública nesse dia e nos dias seguintes, ajudando a criar maior consciência para as questões de cibersegurança. Muitas vezes as notícias de ciberataques referem-se ao problema em abstrato, como foi o caso dos vazamentos de dados pessoais de clientes TAP, uma vez que as pessoas não sentem diretamente e pessoalmente (pelo menos no imediato, e de forma bem clara) as consequências de um ciberataque. No caso do ataque informático à Vodafone, a situação foi bem diferente.

As autoridades do Reino Unido detiveram mais tarde sete elementos do Lapsus$ Group, responsável por ciberataques à Vodafone e também à Imprensa, contando-se um jovem de 16 anos entre eles, de acordo com o Diário de Notícias em artigo datado de 25 de março de 2022, e citando a estação pública britânica BBC. O Lapsus$ havia reivindicado a autoria de um ataque informático à Imprensa no início de janeiro de 2022, afetando os sites e serviços da SIC e do jornal Expresso.

De acordo com um artigo publicado no portal TEK Sapo, logo após o ataque informático à Vodafone, e citando a RTP, a Polícia Judiciária e o Serviço de Informações e Segurança estavam a seguir a pista de um hacker russo que terá conseguido os dados de “login” de um trabalhador da Vodafone para conseguir acesso ao sistema de gestão da empresa. O hacker terá conseguido não apenas o nome de utilizador e a palavra-passe mas também terá clonado o cartão do telemóvel, de modo a conseguir ultrapassar a autenticação multifator por dois passos.

Ainda de acordo com o TEK, o hacker teria anunciado num site russo que o acesso ao sistema informático de uma empresa de telecomunicações portuguesa estava à venda com um preço base de 2500 dólares.

O ex-CEO da Vodafone, Mário Vaz (que rumou à direção da Vodafone Espanha em abril deste ano) convocou uma conferência de imprensa na terça-feira de manhã na qual detalhou a resposta da empresa ao problema. Sem se alongar em detalhes, Vaz avançou que foi instalado um “gabinete de crise” por volta das 21h00 de segunda-feira, logo que o problema foi notado.

A Vodafone começou por recuperar o serviço de 2G, para “permitir situações de emergência”, que ficou a funcionar pelas 22h00. Os dados sobre a rede 3G ficaram disponíveis à meia-noite, primeiro na Madeira e depois no resto de Portugal, mas implementando limites de velocidade para garantir um serviço equilibrado a todos os clientes.

Vaz acrescentou que a Vodafone estava a colaborar com a Polícia Judiciária (Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica), o Centro Nacional de Cibersegurança e a Autoridade Nacional de Comunicações (Anacom) para identificar os atacantes e agradeceu a todos os “players” (clientes, amigos e concorrentes) a disponibilidade mostrada para ajudar.

O ataque informático à Vodafone afetou os serviços 2G, 3G, 4G e SMS, com efeitos vastíssimos e a vários níveis. Além dos serviços de dados móveis e voz, os serviços de telefone fixo e de atendimento de voz digital também foram afetados. O único grande serviço que não sofreu consequências foi a internet fixa.

Mas além dos clientes particulares Vodafone, vários serviços do tipo “corporate” também sofreram os efeitos, multiplicando o número total de pessoas afetadas.

• As corporações de bombeiros com contratos com a Vodafone, que se estimava serem cerca de um terço do total, utilizaram a rede SIRESP como recurso para garantirem a operacionalidade;
• O INEM ativou também um plano de contingência para recorrer ao SIRESP;
• Vários hospitais relataram anomalias nas comunicações, nomeadamente o Hospital Pedro Hispano (Matosinhos), com dificuldade no envio de SMS para convocatórias de consultas;
• Algumas caixas Multibanco estiveram indisponíveis das 21h00 à meia-noite, até a Vodafone reativar a rede 3G, pois a SIBS era cliente Vodafone e algumas caixas ATM, de acordo com o Público, têm “interligação à rede móvel de dados”;
• A EMEL (Empresa de Mobilidade e Estacionamento de Lisboa) relatou problemas nas comunicações do sistema de bicicletas partilhadas de aluguer GIRA;
• A Polícia Judiciária ficou sem telefones fixos, incluindo o serviço de piquete.

A revelar-se correta a forma como os hackers conseguiram o acesso ao sistema informático da Vodafone, fica novamente clara a necessidade de adotar diversas medidas de cibersegurança, desde as tecnologicamente mais avançadas até às de senso comum.

• O primeiro passo é criar e atualizar regularmente um backup (cópia) dos dados fundamentais para a atividade da empresa. Estes dados devem ser conservados num sistema ou computador com permissões de acesso extremamente limitadas. Em caso de emergência, bastará ir buscar estes dados para facilitar a retoma da atividade.
• É também essencial proteger os dados pessoais de todos os responsáveis da empresa, desde o CEO e responsáveis de topo até a todos os quadros intermédios e de base que tenham permissões para aceder aos sistemas e administrá-los. Não é necessário que exista um exploit ou uma falha de segurança informática grave que possa ser explorada. Em vez disso, os hackers podem estudar as pessoas envolvidas, selecionar um alvo e tentar obter os respetivos dados. Como um segurança de uma poderosa fortaleza que pudesse ser apanhado distraído durante alguns minutos, deixando a porta da fortaleza aberta.
• Neste sentido, é importante ministrar formação em cibersegurança a todos os colaboradores e reiterar a necessidade de que cada um partilhe o mínimo de informação possível nas redes sociais e na internet. Todos devem estar alertados contra as manobras de engenharia social que podem potenciar um ataque de phishing e levar a que o sistema informático da empresa seja “colonizado” por cibercriminosos, sem que a vítima se aperceba do que aconteceu até ao momento em que tudo “explode”, como sucedeu no caso do ataque à Vodafone.
• Utilize uma VPN que proteja todas as comunicações mais sensíveis da empresa (com um espectro tão largo quanto possível). A VPN cria um túnel de encriptação que torna a sua atividade praticamente indecifrável a terceiros: e-mails e mensagens enviados, sites visitados, etc. As VPN reduzem a informação disponível a terceiros mal intencionados que possa ser usada contra a empresa (nomeadamente para que sejam adivinhados dados de login, por exemplo).
• Pondere a contratação de um serviço CASB, principalmente se a atividade da sua empresa ou organização depender de serviços na nuvem (cloud). Um CASB reforça as proteções em pontos fracos associados ao uso intensivo da cloud, seja por funcionários, seja por fornecedores ou até por clientes que usem a sua plataforma (ainda que com permissões diferentes e/ou reduzidas). Se o seu backup de dados estiver na nuvem, um CASB poderá ser especialmente útil.

Resumidamente, eis o que se deve fazer quando a emergência surge:

1. Criar um “gabinete de crise” à imagem do que foi feito no ciberataque à Vodafone. Há quatro competências que devem estar representadas:
• a administração, com alguém com poderes de decisão;
• a informática/sistemas/tecnologias de informação, para atuar na parte técnica do problema;
• a competência jurídica, seja com departamento próprio ou contratado, para acompanhar o que será necessário decidir e executar;
• a competência de comunicação, para gerir como será o problema comunicado com os diversos stakeholders.
2. Analisar o problema, tentando determinar a provável origem do ataque, quais os danos reais e quais as consequências. No caso do ataque informático a Vodafone, concluiu-se que os dados pessoais dos clientes não tinham sido roubados. Mas um ciberataque de natureza diferente podia, silenciosamente, dedicar-se a roubar dados de utilizadores sem criar disrupção na atividade da empresa. E provavelmente seria bem mais difícil de detetar, tal como o crime de furto pode demorar muito mais tempo a detetar que o de vandalismo. A tarefa será o “core” da questão, entregue à equipa técnica.
3. Proteger os dados pessoais dos clientes, mitigando possíveis perdas.
4. Comunicar o problema. Será necessário comunicar aos colaboradores e parceiros próximos, às autoridades, aos clientes e, se se justificar, ao público em geral através de um comunicado.