O número de posts sobre o assunto no r/portugal tem sido grande pelo que este tentará ser um mega-thread para acompanhar o tema. Fazendo “sort by new” conseguem acompanhar à medida que se vai desenvolvendo. Aqui um resumo:

1) Sites do Expresso, SIC, Opto vão abaixo por ataque. A primeira thread no r/portugal sobre o tema:

– [Sites do grupo Impresa, e redes sociais, foram tomados pelo mesmo grupo que em Dezembro tomou o ministério da saúde brasileiro. Site do Expresso mostra imagem com pedido de ransomware](https://www.reddit.com/r/portugal/comments/ru5v3v/sites_do_grupo_impresa_e_redes_sociais_foram/)

2) A Impresa publicou às 20h, dia 5 alguns esclarecimentos:

– [O ataque ao Expresso e à SIC: 11 esclarecimentos aos nossos leitores e espectadores](https://expresso.pt/expresso/o-ataque-ao-expresso-e-a-sic-11-esclarecimentos-aos-nossos-leitores-e-espectadores/)

3) O Público noticia pouco depois sobre a CNPD e descreve mais sobre a situação interna:

> **Sem acesso a computadores e telefones na redacção**

> Para já o que se sabe é que os piratas informáticos **conseguiram afectar o sistema informático do grupo Impresa todo.** Os funcionários deixaram de ter acesso aos seus e-mails e o trabalho nas redacções do Expresso e da SIC tem sido feito com muitas dificuldades. Por exemplo, na SIC, uma peça televisiva que normalmente demoraria uma hora e meia a editar, está a demorar seis horas. Os jornalistas não têm acesso aos computadores na redacção, nem aos telefones.

> As peças televisivas estão a ser editadas em computadores portáteis. Não há também acesso aos arquivos de imagem. Aliás, chegou a ser noticiado que os arquivos podiam ter sido destruídos pelos piratas, mas ao que o PÚBLICO ainda não há certezas do que aconteceu porque os piratas encriptaram os dados tornando-os inacessíveis.

> Os pivôs estão a usar notas em papel e os coordenadores calculam o tempo das peças de forma manual, com uma calculadora, algo que normalmente é feito de forma automática pelo sistema onde é feito o alinhamento dos programas a transmitir.

– [Ataque informático: Protecção de Dados abriu processo de averiguações muito antes da comunicação do grupo Impresa](https://www.publico.pt/2022/01/05/sociedade/noticia/ataque-informatico-comissao-proteccao-dados-abriu-processo-averiguacoes-comunicacao-grupo-impresa-1990915?ref=hp&cx=latest_news_a_v2–496639)

4) Ao final de dia 6 o Expresso publica mais detalhes sobre como está a ser preparado a edição impressa do Expresso desta semana:

– [É isto: ninguém apaga 49 anos de Expresso
](https://expresso.pt/expresso/e-isto-ninguem-apaga-49-anos-de-expresso-veja-o-video/)

> Este vídeo e este texto não são sobre o dia 2 de janeiro de 2022, quando **todos os sites do Expresso se eclipsaram da internet e todas as plataformas que alimentavam o jornal foram capturadas**. Também não são sobre os esforços que continuam a ser feitos para reaver tudo o que nos foi roubado a nós, jornalistas, e a si, leitor. É sobre uma viagem no tempo: para que a primeira edição do Expresso em 2022 chegasse às bancas, tivemos de recuar 30 anos.

> Os sistemas digitais onde o jornal é feito morreram e não houve tempo para fazer o luto. **As páginas começaram a ser desenhadas à mão outra vez, como se nunca tivessem existido; as notícias foram colocadas e revistas num único computador; a edição foi toda fechada nas paredes e num quadro branco instalado de emergência.** Foram encontradas novas dificuldades mas também nervos de aço.

> Numa semana em que o Governo pediu contenção e exigiu teletrabalho, o Expresso teve de pedir a jornalistas, gráficos, fotógrafos e revisores que se encontrassem todos na sede do jornal, em Paço de Arcos. Foram muitas horas a trabalhar – mas o barco foi construído. Na semana em que o Expresso faz 49 anos, fica esta promessa: vamos continuar a navegar.


**Arquivo**

Uma colecção de outras threads sobre o mesmo tema
[[1](https://www.reddit.com/r/portugal/comments/rveqyi/o_grupo_brasileiro_que_hackeou_a_impreza_agora/)] [[2](https://www.reddit.com/r/portugal/comments/rvyhb9/ataque_inform%C3%A1tico_ao_grupo_impresa_n%C3%A3o_%C3%A9/)] [[3](https://www.reddit.com/r/portugal/comments/rvzr17/hackers_que_atacaram_sic_e_expresso_estiveram/)] [[4](https://www.reddit.com/r/portugal/comments/rv4sus/ataque_aos_sites_da_impresa/)] [[5](https://www.reddit.com/r/portugal/comments/ruzmxv/todos_os_s%C3%ADtios_da_impresa_ainda_est%C3%A3o_em_baixo/)] [[6](https://www.reddit.com/r/portugal/comments/rverlk/hackers_do_grupo_impresa_enviam_sms/)]
[[7](https://www.reddit.com/r/portugal/comments/rvi0yy/sic_not%C3%ADcias/)] [[8](https://www.reddit.com/r/portugal/comments/rvyzv0/a_mensagem_dos_hackers_expresso_sic_sic_noticias/)] [[9](https://www.reddit.com/r/portugal/comments/rx2zx6/o_ataque_%C3%A0_sic_e_ao_expresso_11_esclarecimentos/)] que tranquei mas deixei visiveis caso alguém queira ler os comentários. Uma grande parte é uma banalidade previsível sobre “Panama Papers”, “jornalixo” e “bater no ceguinho” mas ainda assim há algumas discussões técnicas e de negócio interessantes lá pelo meio.

Here we go again?

– [Possível data breach na Altice Portugal](https://www.reddit.com/r/portugal/comments/rxjr3m/poss%C3%ADvel_data_breach_na_altice_portugal/)

25 comments

  1. Comunicado Impresa:

    —-

    **O ataque ao Expresso e à SIC: 11 esclarecimentos aos nossos leitores e espectadores
    **

    O Grupo IMPRESA está a tomar um conjunto de acções para que a normalidade de todas as suas operações seja reposta, após o ataque informático sofrido no domingo

    20:01 5 Janeiro, 2022 | Expresso

    Como é do conhecimento público, os sites do Grupo IMPRESA, nos quais se incluem órgãos de comunicação social como o EXPRESSO, a SIC e a BLITZ, mas também marcas como a Opto, ADVNCE ou Olhares, foram alvo de um ataque informático, que teve início no passado domingo, dia 2 de janeiro, tendo sido imediatamente desenvolvidas diversas ações para minimizar os seus efeitos.

    Desde essa data, o Grupo IMPRESA tem trabalhado com as autoridades competentes, nomeadamente com a Polícia Judiciária e com o Centro Nacional de Cibersegurança. Além disso, foram contratadas empresas especializadas para auxiliar os departamentos internos do Grupo IMPRESA.

    Este ataque tem dificultado seriamente a missão dos nossos órgãos de comunicação social e, por estar a limitar a nossa capacidade de informar, resulta num grave atentado à liberdade de imprensa. Tem requerido de todos os profissionais do Grupo um esforço extraordinário para tentar colmatar as dificuldades técnicas impostas.

    A IMPRESA apresentou, entretanto, uma denúncia/queixa-crime no Departamento de Investigação e Ação Penal de Lisboa, contra incertos, pela prática de crimes de Terrorismo, Dano Relativo a Programas ou Outros Dados Informáticos, Sabotagem Informática, Acesso Ilegítimo, Acesso Indevido, Desvio de Dados e Destruição de Dados. O incidente foi também notificado à Comissão Nacional de Proteção de Dados e foi hoje enviado um comunicado sobre o incidente à Comissão de Mercados e Valores Mobiliários.

    O objetivo do Grupo IMPRESA é continuar a resolver a situação e repor rapidamente a normalidade da respetiva atividade. Ontem, ao final do dia, o EXPRESSO e a SIC Notícias conseguiram colocar no ar sites provisórios, complementando as páginas das redes sociais do EXPRESSO e da SIC no Facebook, Instagram e Linkedin, onde as notícias dos dois órgãos continuaram a ser veiculadas. Os restantes sites do Grupo serão repostos de forma consistente e sucessiva.

    Além disso, na próxima sexta-feira, dia 7 de janeiro, está garantida a publicação da edição semanal do EXPRESSO, um número especial que assinala os 49 anos do jornal.

    Apesar destes passos, o Grupo IMPRESA reconhece que demorará algum tempo para que a normalidade de todas as operações seja reposta. O nosso objetivo, com este comunicado, é o de prestar informações que consideramos úteis não só para os nossos stakeholders como também para outras empresas ou entidades que pretendam evitar ataques semelhantes. Nesse sentido, no final desta comunicação poderá encontrar um conjunto de “perguntas e respostas” mais detalhadas relativas ao ataque informático. Qualquer evolução ou facto novo relevantes relacionados com este tema serão oportunamente divulgados.

    O Grupo gostaria de agradecer a todos os seus trabalhadores, que têm sido incansáveis neste período tão exigente da vida da IMPRESA, bem como aos seus leitores, espectadores, utilizadores, anunciantes, parceiros e órgãos de comunicação social e grupos de media, que nos têm apoiado ao longo dos últimos dias.

    Perguntas e respostas sobre este ataque

    **1) Já sabem quem está por detrás e como teve lugar o ataque?**

    Tanto quanto foi possível saber, um grupo de atacantes (auto-identificados como “Lapsus$ Group”) realizou uma intrusão na rede interna, bem como nos meios de controlo da plataforma de cloud (AWS) utilizada pelo Grupo IMPRESA.

    **2) Os atacantes pediram algum resgate?**

    À data do presente comunicado, não foi efetuado qualquer pedido de pagamento (“resgate”).

    **3) O que foi feito para conter o ataque?**

    O Grupo IMPRESA envidou todos os esforços para a neutralização do ataque informático, tendo criado uma “task force” para a gestão do mesmo e acionado todas as medidas técnicas e procedimentos legais aplicáveis. Foi também contratada imediatamente uma empresa especializada em cibersegurança.

    **4) Recebi uma comunicação fraudulenta do Expresso intitulada «“Breaking” Presidente afastado e acusado de homicídio: Lapsus$ é o novo presidente de Portugal» e um SMS suspeito do Opto. O que devo fazer? E se voltar a receber comunicações desse género?**

    Deve apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo. Os atacantes podem explorar tais comportamentos para desencadear ações lesivas, como o “phishing” de credenciais.

    **5) Sou assinante do EXPRESSO e subscritor da Opto. Os meus dados pessoais foram acedidos pelos atacantes?**

    Alguns dados pessoais terão sido acedidos pelos atacantes, concretamente dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico.

    **6) Os meus dados pessoais constantes das bases de dados de assinantes/utilizadores/subscritores dos meios e serviços EXPRESSO/SIC/OPTO foram destruídos ou apagados?**

    Não houve quaisquer dados pessoais de assinantes/utilizadores/subscritores que tenham sido destruídos ou apagados das referidas bases de dados.

    **7) Os atacantes tiveram acesso às passwords utilizadas para aceder ao Expresso e ao Opto?**

    À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes.

    **8) Os atacantes tiveram acesso aos dados do cartão de crédito utilizados para pagar a assinatura do EXPRESSO e a subscrição do Opto?**

    À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação.

    **9) Que medidas foram adotadas para reparar a violação de dados?**

    Foi, entre outras medidas, efetuada a recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades.

    **10) Enquanto assinante do EXPRESSO/subscritor da Opto, serei ressarcido pelo tempo em que não pude aceder a estes serviços?**

    A satisfação dos nossos assinantes e subscritores é uma prioridade para o Grupo Impresa. A nossa equipa comercial divulgará nos próximos dias mais informação sobre este assunto.

    **11) Com quem posso esclarecer todas as minhas dúvidas sobre a proteção dos meus dados pessoais?**

    Poderá dirigir questões relativas à proteção dos seus dados pessoais para o email privacidade.impresa@gmail.com. Seremos tão breves quanto possível, pedindo apenas a compreensão necessária tendo em consideração que o ataque ainda se encontra em investigação e poderão surgir novas informações.

  2. Entramos claramente em modo de damage control, sendo que há ali respostas que ainda me suscitam mais dúvidas.

    “Não temos evidências” é terminologia de advogado que se traduz em … não sabemos.

    “Efectuada a recuperação de cópias de segurança” … isto significa exactamente o quê?

    Pior, quando se trata de uma resposta à pergunta “Que medidas foram adotadas para reparar a violação de dados?” Ou seja… os dados foram violados… reiniciamos o servidor.

    Bem… pelo menos há jornal no fim de semana. Menos mal.

    Mas suspeito que isto tem pernas para durar mais algum tempo.

  3. Pessoal do Lapsus$ Group que aqui estiver lendo, que obviamente estão, uma pergunta:

    O que suscitou esse ataque? Se não pediram resgate, a finalidade foi demonstrar capacidade?

  4. > **7) Os atacantes tiveram acesso às passwords utilizadas para aceder ao Expresso e ao Opto?**
    À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes.

    que moral, lol

  6. Acho piada continuarem a bater na tecla do ataque à imprensa. Os jornalistas adoram fechar-se em bolinha e gritar “liberdade de imprensa” quando surgem imprevistos.

    Foram hackeados porque os sistemas eram vulneráveis, à imagem de milhares de outras entidades e empresas que são hackeadas todos os dias por esse mundo fora.

  7. O comunidado do link não dá grande informação.

    >À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes.

    As perguntas aqui são:

    * Acederam às hashes das passwords?

    * As hashes tinham salt?

    —-

    >À data do presente comunicado, não temos evidências de que os atacantes tiveram acesso a esta informação (cartões de crédito)

    Mas há evidências de que não tiveram acesso?

  8. >4) **Recebi uma comunicação fraudulenta do Expresso intitulada «“Breaking” Presidente afastado e acusado de homicídio: Lapsus$ é o novo presidente de Portugal» e um SMS suspeito do Opto. O que devo fazer? E se voltar a receber comunicações desse género?**

    >Deve apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo. Nós carregámos e deu merda.

  10. Os gajos que escreveram a repostas ao ponto 7 não são os mesmos que são responsáveis pela segurança informática do grupo Impresa.

  13. Achei interessante enviarem-me o comunicado por email quando eu tinha pedido em 2019 a eliminação dos meus dados ao abrigo do RGPD e tendo recebido um email de volta a confirmar a eliminação dos mesmos.

  14. Eu apenas quero assistir e ver quais é que vão ser os recursos que vão utilizar para tentar recuperar dados e depois a quem é que vão ser atribuídas responsabilidades por falhas de segurança, quer tenha sido uma falha no código que possa ter criado uma porta para a entrada dos primeiros ficheiros maliciosos e/ou alguma pessoa que tenha caído num ataque de phishing ou qualquer coisa parecida e ter deixado entrar um ransomware nos servidores. Provavelmente isto pode ter começado com um pequeno software malicioso apenas com o intuito de se espalhar o mais rapidamente possível e dar entrada a mais outros softwares maliciosos. Isto vai servir de lição para o resto das empresas em Portugal e deixar o alerta

  15. A equipa de ciberseguranca já devia existir, wtf. Especialmente numa empresa desta dimensão que lida com dados pessoais de clientes (sobretudo dados de cartões de crédito).

    Aposto que o plano de recuperação de incidentes destes mamíferos era qualquer coisa como ‘Culpar o gajo da manutenção dos pcs e pedir muitas desculpas”. E não deve estar muito longe disso visto que o site alternativo do expresso foi um WordPress martelado (que era mais funcional e apelativo que o site original kek)

    Não há muito que uma equipa de segurança possa fazer agora.

    “Olhe Dona Osvalda o seu marido idoso e mais vulnerável a doenças faleceu”

    “Ah, não me diga isso…”

    Ps:pus este comentário num post individual que me apareceu no feed antes desta thread.

  16. Foda-se. As merdas que o Expresso inventa para não ter de divulgar a lista de políticos e jornalistas ligados ao Grupo Espírito Santo que constam supostamente nos Panamá papers, que estão para publicar desde 2016.

    Epah eles iam publicar mesmo amanhã pah…mas isto do ransomware foi uma chatice, fazer o quê? Ao menos é (segundo eles) um ransomware sem pedido resgate! E esta hein?

  19. Isto fez me pensar no numero do cartão de credito. Eu uso praticamente sempre o MB Way para gerar cartões mas em 2 ou 3 plataformas tenho o meu cartão mesmo gravado.

    Acham mesmo que em caso algum devemos dar o numero do cartão? Tenho ideia de que os cartões fiquem encriptados.

  20. Essa do público está bonita. Estão sem sistemas internos?

    Mas eles têm os sistemas públicos e internos nas mesmas plataformas e mesmos acessos? A sério?

    Ou foi um ataque espectacular multi-sistema ou eles não têm mesmo o mínimo de bom senso na sua informática.

    Atacar um site público ainda é como o outro mas com isso chegar aos sistemas internos é de loucos. É preciso um monte de estupidez enorme para isso. Parabéns!

    Isto ainda vai fazer correr muita tinta.

  22. estavam a mostrar agora a ediçao do expresso a ser impressa e lá vem o choradinho “quando o plano é matar o mensageiro”. lol…

    Nada de assumir que como CEO investem zero em protecção informática. Nada de que é ridículo de como conseguem atacar sistemas ‘internos’ do jornal para além dos públicos. Nada de como são uns incompetentes de merda.

    Estratégia da vitimização e liberdade de imprensa. Bando de palhaços manipuladores.

Leave a Reply