Compartilhe esta publicação
Apertem os cintos, os dados voaram
A TAP (Transportes Aéreos de Portugal), uma das maiores empresas portuguesas com certeza, uma das gigantes do setor na Europa, foi alvo de um ciberataque em agosto passado.
Não é grande novidade. Ataques do gênero estão “na moda”. Quanto maior a empresa, maior o desafio e maior será o número de hackers dispostos a invadir seus sistemas. Geralmente, para pedir um polpudo resgate, ou apenas para postar alguma gracinha na página principal do site durante algumas horas.
Boa parte desses só o fazem com o propósito de dizer “eu posso”. Egolatria digital. Freud talvez explicasse. Então, o que justifica dar destaque a essa invasão em particular? O que a torna tão especial?
Talvez, a sucessão de erros por parte da empresa, que transformaram o caso numa tragicomédia. Tudo começou na manhã de 26 de agosto. Porta-vozes da TAP informaram à imprensa que, na noite anterior, seus servidores foram vítimas de uma invasão.
Em seguida, afirmaram que providências foram rapidamente tomadas, e todos poderiam ficar sossegados, porque os criminosos foram prontamente repelidos. Vamos levar em conta que a empresa atravessa um período de reestruturação administrativa e financeira, recuperando-se de uma crise tamanho jumbo. Por pouco, seus aviões não se viram forçados a ficar em terra indefinidamente.
A opinião pública se acalmou, os investidores respiraram aliviados, vida que segue, voando em céu de brigadeiro. Certo?
Não exatamente. Faltou a empresa combinar com os invasores.
Atenção senhores passageiros...
Quatro dias após, o grupo hacker que perpetrou o ataque, chamado Ragnar Locker, levou à público que haviam roubado os dados pessoais de um bom número de clientes. Na mesma data, a companhia aérea, levemente envergonhada, confirmou que era verdade. Alguns dados foram surrupiados, mas não era nada demais.
A resposta do grupo foi ligeira: o “nada demais” eram “só” nove mil clientes. A TAP, rapidamente, passou a correr atrás do prejuízo, tentando notificar os afetados. No comunicado, alertava aos clientes sobre possíveis riscos que a divulgação dos dados poderia acarretar, como tentativas de fraude.
Não bastasse a má sorte da companhia aérea, em 13 de setembro o jornal Público publicou, com perdão do trocadilho, que o pessoal do Ragnar Locker dizia que não eram bem uns nove mil clientes. Talvez um pouquinho mais. Cerca de cento e quinze mil, para fechar a conta. E que, quem sabe, esses dados poderiam brevemente ser divulgados.
Foi então que a coisa complicou de vez. Porque entre estes cento e quinze mil, haviam dezenove clientes cujos dados não poderiam ser vazados. Se parar para fazer as contas, dezenove, em um universo de cento e quinze mil, como diriam os estatísticos, não significa grande coisa.
A não ser que estes dezenove sejam ligados ao governo, provavelmente do mais alto escalão. Um problema de segurança digital começava a ganhar contornos de escândalo político.
Fato é que o grupo não gostou nem um pouco da declaração inicial da TAP, minimizando o ataque. Sem a menor cerimônia, publicaram:
“Querem que publiquemos 100 a 300 mil (dados pessoais) por dia? Ou que publiquemos simplesmente, daqui a alguns dias, a base de dados total com cerca de 500 gigabytes onde incluímos não só a informação pessoal de 1,5 milhões de clientes, mas também bastantes ficheiros internos da empresa?”
“Ficheiros”, em português de Portugal, são os brasileiríssimos “arquivos”. É justamente essa parte do comunicado que acendeu todas as luzes de alerta da companhia aérea. Praticamente um pouso forçado.
Em nota, a TAP admitiu que os dados realmente foram roubados, o que não era novidade. Mas garantiram que as medidas necessárias haviam sido tomadas, e que todos poderiam ficar tranquilos.
Imagino que você não deve ter acreditado. Eu também não. E muito menos os clientes da empresa. Mas dava pra piorar.
Quase um overbooking
Se você estava de olho nos detalhes (que segundo o dito popular é onde o diabo mora) percebeu uma novidade na declaração dos hackers. Um número, completamente assustador: 1,5 Milhão. De clientes.
Não precisa dizer que o pessoal do Ragnar Locker possivelmente colocou as mãos sobre todo o cadastro da TAP. Os nove mil do começo da história se tornaram brincadeira de criança.
O jornal Expresso colocou em destaque em 19 de setembro: o grupo publicou 581 GB de informação sequestrada. Olhando assim nem parece tanta coisa, mas em dados cadastrais, é quase um absurdo. Disponível na dark web, para quem quiser. Cortesia da casa.
Disse “informação sequestrada” porque em seguida veio à tona um outro detalhe. Como poderia supor, era um ataque ransomware. Dos bons. O pessoal do Ragnar Locker pediu um valor bastante extorsivo em troca da segurança das informações.
É o que costuma ocorrer com centenas de empresas mundo afora. Porém, além de recusar a negociar com os hackers, o que é o procedimento mais comum e indicado pela Polícia, de lá ou de cá, a TAP cometeu alguns erros.
O primeiro foi ter ido à imprensa dizer que tudo estava bem, com um sorriso no rosto, o que despertou a ira dos sequestradores; e o pior, não levar a sério a possível extensão da “fuga de dados”, como dizem por lá. Nove mil clientes seriam um problemão. Cento e quinze mil são bem mais que isso. Um milhão e meio é para tirar o sono de muita gente.
Tempestade no horizonte
Neste instante, dados como nome, endereço, e-mail, telefone, nacionalidade, sexo, pontos de milhagem e outras informações sensíveis de clientes da empresa estão disponíveis para quem quiser. E, geralmente, quem quer não tem as melhores intenções.
Em outras palavras, a TAP cometeu o pecadilho da soberba. E essa “arrogância” perante o público, além de irritar os criminosos, acabou manchando sua credibilidade. Justo em um momento crítico para a empresa, que agora corre atrás do prejuízo.
Será um processo lento, possivelmente doloroso, para reconquistar a confiança. A francesa Christine Ourmières-Widener, CEO da empresa, foi a público pedir desculpas pela “inconveniência”.
Mais válido talvez seja o comentário do presidente do OSCOT (Observatório de Segurança, Criminalidade Organizada e Terrorismo), Jorge Bacelar Gouveia. Em entrevista a um canal de TV do país, no dia 20, proferiu: “se calhar, é melhor a TAP não dizer mais nada”.
No caso, como diria um velho ditado lusitano, “o silêncio é ouro”.
E o que você acha disso? A TAP errou? Quero saber. Me chama lá no Twitter!
Eu volto. Voando.
Este artigo foi escrito por Clarissa Blümen Dias e publicado originalmente em Prensa.li.