Comunicado sobre Incidente de Cibersegurança | 21 de dezembro de 2022
A UCP informa que na sequência do incidente de cibersegurança de origem criminosa, cujos efeitos se fizeram sentir no seu campus Porto no passado dia 30 de novembro, foi detetado o comprometimento de alguns dos seus sistemas de informação, tendo sido possível repor gradualmente a disponibilidade dos mesmos, em sequência de um conjunto de medidas prontamente adotadas.
Lamentavelmente e no decurso da investigação, verificou-se que houve acessos ilegítimos e posterior divulgação de dados pessoais de um conjunto ainda não totalmente identificado de pessoas, nomeadamente membros da nossa comunidade académica e clientes da UCP Porto, relativamente às seguintes categorias de dados: nomes, emails pessoais, telemóveis, moradas, números de identificação pessoal, passaportes, entre outros. A informação exposta dos diferentes titulares de dados pode variar.
A UCP está a acompanhar a evolução dos acontecimentos em articulação com as autoridades competentes e continua a tomar todas as medidas adequadas para minimizar o impacto deste ato criminoso.
A divulgação de dados pessoais através de meios públicos pode aumentar o risco do seu uso ilegítimo, nomeadamente para obter outros dados que possam ser usados para comprometer sistemas informáticos com fins fraudulentos. Recomenda-se que tenha uma atenção redobrada com comunicações não solicitadas em que lhe sejam pedidas informações pessoais, passwords ou dados de confirmação e que não clique em ligações ou descarregue anexos provenientes de endereços de e-mail suspeitos.
A Universidade Católica Portuguesa repudia este ato criminoso e lamenta todos os constrangimentos causados à sua comunidade.
Para qualquer esclarecimento adicional sobre este assunto, poderá contactar-nos através do email compliance.rgpd@ucp.pt (Encarregado de Proteção de Dados).
Reitoria | Universidade Católica Portuguesa
QUESTÕES FREQUENTES:
1. O que aconteceu com mais detalhe?
Os sistemas internos de cibersegurança da Universidade Católica Portuguesa (UCP), no Porto, detetaram o acesso não autorizado a alguns sistemas informáticos, que resultou na disrupção dos mesmos. A UCP mobilizou de imediato uma equipa de especialistas que acionou um conjunto de medidas de contenção e de reposição dos sistemas afetados.
Infelizmente, temos agora evidência de que um número limitado e ainda não totalmente identificado de dados de alguns dos seus alunos, docentes, colaboradores e clientes foram comprometidos. Os dados afetados podem incluir nomes, emails pessoais, telemóveis, moradas, números de identificação pessoal, passaportes, entre outros. A informação exposta relativamente aos diferentes titulares de dados pode variar.
A segurança da nossa comunidade é uma prioridade. Continuaremos a tomar todas as medidas necessárias para minimizar o impacto deste ataque criminoso.
2. Que medidas foram tomadas pela Universidade?
A Universidade Católica Portuguesa está a acompanhar a evolução dos acontecimentos em articulação com as autoridades competentes e tomou de imediato todas as medidas necessárias de forma a mitigar a situação.
A UCP implementou um plano de evolução de segurança com os seguintes objetivos:
- Incremento da resiliência dos sistemas de informação internos a novos ciberataques;
- Aumento da capacidade de deteção e resposta a incidentes de segurança;
- A otimização da segurança global da Instituição através da implementação de soluções de segurança e a reestruturação global da arquitetura de segurança interna.
3. Os hackers conseguiram aceder aos dados pessoais dos membros da comunidade?
Alguns dados foram acedidos ilegitimamente pelos hackers e podem incluir as seguintes categorias: nomes, emails pessoais, telemóveis, moradas, números de identificação pessoal, passaportes, entre outros. A informação exposta relativamente aos diferentes titulares de dados pode variar.
Neste momento a investigação ainda decorre e não é possível identificar a totalidade dos titulares cujos dados foram acedidos/divulgados, pelo que se recomenda que sejam seguidas todas as medidas de proteção e segurança previstas em 6.
4. Onde foram divulgados alguns dos dados pessoais comprometidos neste incidente?
Os dados foram divulgados na dark web. A comunidade cibercriminosa utiliza a dark web para divulgar e comercializar informações roubadas no decorrer de ciberataques. A dark web descreve uma parte da internet que não pode ser acedida através de motores de busca como o Google ou através de navegadores web comummente utilizados.
5. Qual o risco que resulta da exposição de dados pessoais na dark web?
A divulgação de dados pessoais através de meios públicos pode aumentar o risco do seu uso ilegítimo, nomeadamente para serem utilizados em ações fraudulentas, roubo de identidade ou para obter outros dados que possam ser usados para comprometer sistemas informáticos.
6. O que devo fazer para me proteger?
De forma a incrementar a sua segurança pessoal a nível digital, aconselhamos as seguintes medidas de proteção:
- Instalar soluções ativas de segurança como um antivírus local;
- Não confiar em contactos suspeitos via correio eletrónico, chamadas telefónicas ou redes sociais;
- Garantir sempre uma cópia de segurança atualizada;
- Alterar as credenciais (passwords) de forma regular.
7. Que medidas organizacionais e técnicas tinham sido utilizadas para proteger a Universidade destas intrusões?
A segurança dos membros da nossa comunidade é uma prioridade para a UCP. Assim, ao longo dos últimos anos, temos vindo a reforçar diversas medidas de proteção com o objetivo de incrementar a resiliência, capacidade de deteção e resposta, e segurança digital da Universidade, especificamente nas seguintes vertentes:
- Segurança de perímetro
- Análise e filtragem de conteúdos
- Controlo de Acessos
- Acessos Remotos
- Monitorização e Alarmística
- Políticas de segurança internas
21-12-2022