Dados pessoais expostos após ciberataque podem levar TAP “a pagar coimas e indemnizações”, alerta Deco

Os dados pessoais de 1,5 milhões de clientes da TAP foram expostos na dark web. A Deco Proteste alerta que “a provar-se a negligência”, a companhia aérea pode ter de pagar coimas elevadas, que podem chegar aos 20 milhões de euros, e indemnizar os lesados.



TÓPICOS

A TAP poderá vir a ser responsabilizada com coimas “elevadas” para as grandes empresas que podem chegar aos 20 milhões de euros, após um grupo de hackers Ragnar Locker ter divulgado, esta segunda-feira, na sua página da deep web, 581 gigabytes de dados que garante pertencerem a 1,5 milhões de clientes da TAP.O alerta é da Deco Proteste, após a exposição de milhões de dados que, segundo o jornal Expresso, incluem os do primeiro-ministro António Costa, do diretor do SIS, Ventura, de Paulo Portas e Mariana Mortágua, bem como os dados privados do Presidente da República que, avança o site da presidência, levou Marcelo Rebelo de Sousa a tomar algumas precauções quanto ao único dado que não era generalizadamente conhecido: o endereço digital.

“Se a CNPD [Comissão Nacional de Proteção de Dados] concluir que houve más práticas ou algum tipo de negligência, a TAP poderá vir a ser responsabilizada com coimas elevadas para as grandes empresas, como é o caso: as coimas situam-se entre os 2.500 e os 20.000.000 euros, ou nos 4% do volume de negócios anual, consoante o que for mais elevado”, avança a Deco Proteste.

Já os titulares dos dados, frisa esta organização de defesa do consumidor, “têm direito a solicitar indemnização à empresa ou nos tribunais nacionais competentes pelos danos sofridos, se ficar provado que a TAP não respeitou a lei de proteção de dados, e, por outro lado, que o titular dos dados sofreu danos de natureza patrimonial e/ou não patrimonial”.

A TAP arrisca assim a processos contra a empresa por incapacidade de proteger os dados dos seus clientes, nomeadamente estrangeiros, tal como já aconteceu com a easyJet que foi obrigada a pagar até duas mil libras a cada cliente, após os dados de nove milhões de clientes, incluindo os dados financeiros, terem sido tornado públicos, em 2020.

Os dados pessoais dos clientes da companhia aérea a nacional, divulgados pelo grupo de cibercriminosos Ragnar Locker, que atacou a companhia aérea em agostos, vão do nome, morada, ‘e-mail’, data de nascimento até data de registo e número de passageiro. O ciberataque já estáa ser investigado pelo Ministério Público.

A Deco Proteste destaca que o acesso indevido e desvio de dados, ou data breach, “é crime”.

A TAP afirmou ter comunicado o sucedido às autoridades competentes e assegurou que “foram desencadeadas as medidas e procedimentos apropriados de cibersegurança para este tipo de eventos com o apoio de uma empresa internacional especializada e líder da indústria”, para garantir a integridade dos dados e a operacionalidade dos sistemas.

Segundo a companhia aérea nacional, até ao momento, não há indicação de que tenham sido obtidos e divulgados dados de pagamento. “Nestas situações, os dados de pagamento são altamente apetecíveis para serem usados de forma maliciosa, através de roubo de identidade ou phishing, por exemplo”, frisa a Deco Proteste, acrescentando que “para piorar o cenário, o grupo que reivindicou o ataque assegura que mantém o acesso aos sistemas informáticos da TAP, mantendo o clima de ameaça”.

No passado dia 26 de agosto, a TAP garantiu ter repelido com sucesso o ataque informático. No dia 31 de agosto, os Ragnar Locker reivindicaram o ataque. Na publicação onde os dados da companhia foram publicados, os hackers asseguram, porém, que continuam a ter acesso à rede interna da companhia aérea de bandeira portuguesa. “O mais interessante é que a TAP ainda não resolveu as vulnerabilidades na própria rede e este tipo de problema pode acontecer outra vez. Já agora, se alguém precisar de um acesso remoto à TAP, digam-nos qualquer coisa”, escreve o grupo no seu blog na deep web.

A Comissão Nacional de Proteção de Dados (CNPD) confirmou ter sido notificada e abriu um processo para averiguar o sucedido como determina o Regulamento Geral sobre a Proteção de Dados, estando também a TAP também está obrigada a informar diretamente as pessoas afetadas e a revelar quais os dados expostos.

A CNPD já deu conta de que abriu um processo com o objetivo de averiguar o sucedido durante o ciberataque do grupo Ragnar Locker contra os sistemas da TAP.

Entretanto, a companhia aérea aconselhou os consumidores a verificar as condições de segurança utilizadas para aceder à área reservada, alterando a senha frequentemente e optando por uma senha forte, e a evitar clicar em ligações ou descarregar anexos provenientes de e-mails suspeitos e não solicitados.

A TAP emitiu esta quarta-feira um aviso importante para os seus clientes, relativo ao ciberataque de que foi alvo, acompanhado por um vídeo da CEO. A companhia pretende alertar os clientes para a necessidade de mudarem as senhas usadas no serviço Miles&Go e na área reservada aos clientes, que está disponível na Internet.

“A TAP tem estado em estreita cooperação com as autoridades, em particular com a Polícia Judiciária e o Centro Nacional de Cibersegurança, na investigação destes acontecimentos desde 25 de agosto”, diz a companhia que reconhece que embora “tenha implementado imediatamente as medidas e procedimentos adequados de cibersegurança para este tipo de eventos, com o apoio de uma equipa de especialistas internos e externos de TI e de peritos forenses (Microsoft), os atacantes conseguiram aceder ilegitimamente a dados pessoais de clientes TAP”.

Ler mais
PUB