A LexisNexis, uma conhecida empresa de análise de dados e gestão de risco, revelou ter sido alvo de um ciberataque que resultou no roubo de informações pessoais de 364.333 indivíduos. Este incidente levanta sérias questões sobre a segurança de dados e a transparência na comunicação destas falhas.
Numa carta de notificação enviada aos afetados, a empresa afirma que um “terceiro não autorizado” conseguiu aceder a uma plataforma de desenvolvimento de software de terceiros e subtrair os dados. Embora a LexisNexis assegure que a sua infraestrutura, sistemas e produtos permanecem intactos e que não foram acedidas informações financeiras ou de cartões de crédito, a natureza dos dados comprometidos é motivo de grande apreensão.
O Que Aconteceu Exatamente na LexisNexis?
A intrusão, segundo a própria empresa, ocorreu através de uma plataforma externa utilizada para desenvolvimento de software. A equipa de Segurança da Informação da LexisNexis, em colaboração com uma empresa forense, iniciou imediatamente uma investigação. Confirmaram que “alguns artefactos de software, bem como algumas informações pessoais” que estavam alojados, segundo o The Register, no GitHub, foram adquiridos por este interveniente desconhecido.
É crucial entender que, embora os sistemas centrais da LexisNexis possam não ter sido diretamente penetrados, a dependência de plataformas de terceiros representa um vetor de ataque cada vez mais comum. As empresas confiam em diversas ferramentas e serviços externos, e cada um deles pode tornar-se um elo mais fraco na corrente de segurança. Neste caso, foi essa ligação externa que permitiu o acesso indevido.
Dados Pessoais Expostos: Uma Lista Preocupante
Apesar da tentativa da LexisNexis de minimizar o impacto, afirmando que não foram acedidas “informações pessoais sensíveis”, a lista de dados efetivamente roubados conta uma história diferente e bem mais alarmante. Entre as informações comprometidas encontram-se:
- Nomes completos
- Números de telefone
- Endereços de email
- Moradas residenciais
- Números de Segurança Social (SSN)
- Dados de cartas de condução
A inclusão de Números de Segurança Social e detalhes da carta de condução é particularmente grave. Estes são elementos chave utilizados para usurpação de identidade, podendo abrir a porta a fraudes financeiras, criação de contas falsas e uma miríade de outros problemas para as vítimas. A alegação de que esta informação não é “sensível” é, no mínimo, questionável e não tranquiliza quem viu os seus dados expostos.
A Cronologia da Resposta: Levantam-se Sobrancelhas
A forma como a LexisNexis geriu a comunicação e o tempo de resposta ao incidente também não escapou a críticas. O Dr. Ilia Kolochenko, CEO da ImmuniWeb, expressou surpresa relativamente à linha temporal: “A cronologia da deteção e divulgação do incidente é um pouco surpreendente para uma empresa que oferece serviços jurídicos e outros comparativamente sensíveis: o incidente terá ocorrido em dezembro de 2024, foi detetado em abril de 2025 após receção de informação dos atacantes, e divulgado apenas em maio.”
Kolochenko sublinha que, “dado que muitos dados pessoais foram alegadamente comprometidos, a cronologia de deteção e resposta ao incidente está muito longe de ser perfeita, para dizer o mínimo.” Esta demora entre a ocorrência, a deteção (aparentemente assistida pelos próprios atacantes) e a comunicação pública aos afetados é um ponto crítico, pois quanto mais tempo os criminosos têm acesso aos dados sem o conhecimento das vítimas, maior o potencial de dano.
Consequências e o Rasto de Outras Violações Recentes
As repercussões legais deste incidente para a LexisNexis podem ser significativas, englobando desde coimas regulatórias e honorários legais até um provável acordo com as vítimas. No entanto, como salienta o Dr. Kolochenko, “infelizmente, como a prática demonstra, as vítimas provavelmente receberão uma compensação irrisória de dois ou três dígitos pelo incidente, na melhor das hipóteses.”
Este caso da LexisNexis não é, infelizmente, um evento isolado. Recentemente, em maio de 2025, outras grandes empresas como a Co-op e a Marks & Spencer também vieram a público apresentar desculpas pelos efeitos de ciberataques que atingiram os seus sistemas, demonstrando uma tendência preocupante e a vulnerabilidade crescente de organizações de todas as dimensões.
Como Te Protegeres em Caso de Fuga de Informação
Embora não possas controlar diretamente as falhas de segurança das empresas que detêm os teus dados, existem medidas que podes e deves tomar para te protegeres, especialmente se suspeitas que foste afetado por esta ou outra fuga de informação:
- Monitoriza as tuas contas: Verifica regularmente extratos bancários, faturas de cartão de crédito e outras contas financeiras para detetar qualquer atividade suspeita.
- Altera palavras-passe: Se usavas a mesma combinação de email/palavra-passe em vários serviços, e um deles foi comprometido, altera as tuas credenciais nos restantes, especialmente nos mais críticos. Utiliza palavras-passe fortes e únicas para cada serviço. Considera um gestor de palavras-passe.
- Ativa a autenticação de dois fatores (2FA): Sempre que possível, ativa esta camada extra de segurança. Mesmo que alguém obtenha a tua palavra-passe, precisará de um segundo código (geralmente enviado para o teu telemóvel) para aceder à tua conta.
- Cuidado com o phishing: Após uma fuga de dados, é comum os cibercriminosos usarem as informações roubadas para criar emails ou mensagens de phishing mais convincentes. Desconfia de comunicações não solicitadas que peçam dados pessoais ou cliquem em links.
- Considera serviços de monitorização de identidade: Existem serviços que podem alertar-te se os teus dados pessoais aparecerem em locais indevidos na internet, como na dark web.
A proteção de dados é uma responsabilidade partilhada. Enquanto as empresas devem investir robustamente em segurança e transparência, cabe a cada utilizador adotar práticas vigilantes para minimizar o risco e o impacto de incidentes como este.
