Hackers portugueses publicam passwords encriptadas de profissionais do SNS no Twitter
O Ministério da Saúde confirma que está a “analisar e a tratar da situação”. Profissionais de cibersegurança dizem ao PÚBLICO que ataque aparenta ser pouco profundo.
Este domingo, um grupo de hackers publicou uma fotografia nas redes sociais que mostra nomes de utilizador, códigos de especialidade medicas, e palavras-passe encriptadas de profissionais que trabalham no Sistema Nacional de Saúde (SNS). No dia anterior, o mesmo grupo tinha feito uma publicação semelhante com credenciais de trabalhadores da Câmara de Lisboa. Também estas encriptadas e, por isso, impossíveis de usar para aceder e manipular os serviços.
A divulgação do grupo foi primeiro noticiada esta segunda-feira pelo jornal Expresso. Contacto pelo PÚBLICO, o Ministério da Saúde confirma que os Serviços Partilhados do Ministério da Saúde (SPMS), o Centro Nacional de Cibersegurança (CNCS) e outras “autoridades competentes” estão a “analisar e a tratar da situação”.
Sem acesso às palavras-passe desencriptadas, porém, o impacto dos ataques parece ser diminuto.
“Com base na informação publicada, os atacantes chegaram a um sistema externo que não permite entrar em sistema algum”, explica ao PÚBLICO Rui Duro, que faz a gestão da empresa de cibersegurança Check Point em Portugal. “Podem ter acesso a mais informação que não estão a divulgar, mas este tipo de actores, que usa ciberataques para alcançar notoriedade, publica todo o tipo de informação a que acede.”
Nas imagens divulgadas durante o fim-de-semana apenas se vê a “hash” das palavras-passe: um número de caracteres alfanuméricos aleatórios que resulta da encriptação das passwords por um algoritmo.
O objectivo do grupo, que se apelida de CyberTeam, parece ser utilizar as imagens para criticar a segurança de base dos sistemas portugueses. No final de Abril, na sequência da reivindicação de ataques às redes da Altice e da EDP, a Polícia Judiciária deteve um dos membros do grupo CyberTeam. O jovem de 19 anos, conhecido como Zambrius na Internet, ficou em prisão preventiva por orquestrar vários ataques informáticos pelo grupo, inclusive piratear o site do Benfica e o da Associação Portuguesa de Árbitros de Futebol (APAF).
Usar ciberataques para chamar a atenção
Usar as redes sociais para publicar provas de ataques a infra-estruturas críticas ou mensagens políticas é uma estratégia comum entre alguns grupos de hackers. São conhecidos como hacktivistas (uma amálgama das palavras hacker e activista). “[O] Sistema no nosso país é horrível”, lê-se numa das publicações da CyberTeam.
Durante o fim-de-semana, a equipa CyberTeam Global também publicou provas de ataques a vários serviços do estado do Guatemala.
“Por norma, o objectivo de uma ciberactivista é usar ciberataques para chamar atenção para a causa em que acreditam. O cibercriminoso, por outro lado, não quer publicidade”, salienta Rui Duro, da Check Point. “Isto faz com que seja difícil provar a origem dos ataques. Os responsáveis pelos ataques podem não ser os grupos que os divulgam.”
Inicialmente, a publicação sobre o SNS vinha acompanhada de uma ligação para descarregar as credenciais encriptadas através do serviço de partilha de ficheiros Anonfile, mas desde então foi removida. Mesmo sem palavras-passe úteis, os atacantes disponibilizavam um ficheiro de 3,63 megabytes com 64 mil nomes de utilizador que remetem para nomes reais de médicos e enfermeiros a trabalhar em diferentes hospitais e centros de saúde, e especialidades médicas (por exemplo, com “neuro”, “ginobs” ou “neon” como parte do nome).
O PÚBLICO contactou a Comissão Nacional de Protecção de Dados para saber se foi notificada dos ataque, mas não obteve resposta até à publicação desta notícia. As empresas e serviços têm 72 horas para notificar a CNPD sempre que um ciberataque compromete a confidencialidade e integridade dos sistemas informáticos e dados pessoais dos utilizadores.
Para já, a equipa da Check Point recomenda que os profissionais médicos mudem a palavra-passe por precaução. “O facto da informação que foi divulgada ser superficial não quer dizer que este tipo de ataques deva ser ignorado”, ressalva Rui Duro. “Devem ser visto como alertas, especialmente numa altura em que Portugal tem falta de recursos humanos no sector da cibersegurança.”