Segundo o Sapo TEK:
https://tek.sapo.pt/noticias/internet/artigos/servicos-de-autenticacao-e-website-da-ama-estao-offline-o-que-se-passa vários serviços do Estado, hoje, 10.10.2024 depois de aproximadamente as 12:00, deixaram de responder.

Entre os afectados contam-se:
https://www.ama.gov.pt/web/agencia-para-a-modernizacao-administrativa/chave-movel-digital
“Server-unavailable” (62.28.186.236 da MEO)
http://eportugal.gov.pt (62.28.186.180 da MEO)
https://www.ama.gov.pt (62.28.186.236 da MEO)
https://www.gov.pt/nova-area-reservada (20.223.8.30 da Microsoft Corporation)
a autenticação para o SNS 24 que é feita via
https://autenticacao.gov.pt/fa/Default.aspx?appId=4 (62.28.186.215 da MEO)
ou seja, o site do SNS está no ar mas todos os que precisarem de aceder p.ex. no telemóvel à app “SNS 24” e se autenticarem de novo (se já estiverem no telemóvel acedem sem problemas) encontram o erro:
“This site can’t be reached
The web page at https://autenticacao.gov.pt/fa/Default.aspx?appId=4 might be temporarily down or it may have moved permanently to a new web address.
ERR_TUNNEL_CONNECTION_FAILED”

Estes servidores estão a dar erro aplicacional 5xxx estando a ser afectados os sites e os acessos através das aplicações móveis como a id.gov.pt

A 10.10.2024 pelas 16:30 continuavam em baixo é o efeito segundo o Centro Nacional de Cibersegurança de um ataque de ransomware. Este ataque foi desencadeado precisamente (refere o Sapo TEK) no mesmo dia em que “é apresentado o Orçamento do Estado e muitas atenções estão centradas no debate na Assembleia da República”. Por regra um ataque de ransomware eclode várias semanas (por vezes meses) depois da infecção/penetração dos sistemas mantendo-se os agentes maliciosos activos na rede assegurando persistência e comprometendo sistemas. A “coincidência” do dia pode assim ser mais do que isso.

A paralisação dos serviços de autenticação afecta diretamente a capacidade dos cidadãos de aceder plataformas essenciais como o SNS 24, o portal ePortugal e a Chave Móvel Digital. Essas plataformas são utilizadas tanto por cidadãos quanto por empresas para aceder a serviços públicos de saúde, administrativos e fiscais, entre outros.

Confirmando-se – via CNCS e a própria AMA em comunicado lançado depois das 16:00 – que foi um ataque de ransomware isto revela uma falha de segurança grave e sistémica nas infraestruturas digitais do Governo, com a potencial exposição de dados sensíveis, tanto pessoais quanto institucionais. Com efeito, se houve invasão das redes e sistemas não há garantia que antes da eclosão da anomalia de hoje não tenham sido previamente exfiltrados dados sensíveis para o exterior. A este respeito há que acompanhar a monitorizar a situação e estar atento a publicações na Darkweb durante os próximos dias.

A interrupção prolongada de serviços essenciais irá certamente causar uma diminuição na confiança pública em relação à segurança e confiabilidade dos sistemas de TI do governo. A incapacidade de restaurar os serviços de forma rápida e eficaz pode agravar essa percepção. O downtime a 14.10.2024 era de 4 dias (dada a paragem pelas 10:00 de 10.10.2024). A 14 já havia uma recuperação parcial não sendo claro se estão a repor máquinas de antes de a infecção (esperemos que tenha sido identificada assim como seu vector).

Podemos também esperar pela exfiltração e publicação dos dados na Darkweb nos próximos dias e semanas: algo para o qual estaremos especialmente atentos.

Sublinhe-se que foram emitidas 6.5 milhões de Chaves Móveis Digitais e que cerca de 2 milhões de portugueses usam regularmente esta forma “segura” de autenticação para acederem a serviços públicos, emitirem receitas (médicos), obterem o registo criminal, acederem à Banca Online, etc, etc.

Propostas de Acção por parte da CpC à AMA/Governo:

1.Priorizar o isolamento dos sistemas comprometidos para impedir a propagação do ransomware. Em paralelo, os sistemas críticos para serviços de saúde e de segurança pública devem ser restaurados o mais rapidamente possível sendo que para isso é preciso colocar no ar o serviço https://autenticacao.gov.pt/fa/Default.aspx?appId=4

2. Fornecer actualizações regulares aos cidadãos sobre o estado dos serviços afectados e os esforços de recuperação. A transparência é fundamental para manter a confiança do público. Apesar disso, horas depois do incidente ainda não é possível encontrar essa informção no site do Governo https://www.portugal.gov.pt/pt/gc24 encontrando-se como última informação:
“Notícias 2024-10-10 às 15h50
“Este é, de facto, um Governo que está a agir a alta velocidade””
Publicada quando, de facto, a situação já afectava estes serviços críticos (p.ex. as assinturas digitais via Chave Móvel) desde, pelo menos, as 12:00

Reforço das Defesas de Cibersegurança!
1. Se este incidente ocorreu é porque não existem protocolos de segurança e formação interna adequados. É urgente implementar auditorias de segurança abrangentes para identificar vulnerabilidades nos sistemas. Isso inclui uma avaliação detalhada dos logs de rede, acesso remoto e servidores para identificar as origens da infecção e verificar se houve falhas no monitorização dos sistemas.
2. As políticas robustas de backup devem estar bem implementadas, com backups offline e testados regularmente. Isso ajuda a reduzir o impacto de futuros ataques de ransomware, permitindo uma recuperação mais rápida. Em breve saberemos se era o caso dos sistemas afectados.
3. Investir em sistemas de detecção de intrusões para identificar comportamentos anómalos e potencialmente maliciosos na rede do Estado e da AMA é essencial. Contudo, procurando no portal Base por variantes de “sistemas de deteção de intrusão” nada é encontrado (apenas sistemas de videovigilância).
4. A formação de Funcionários com campanhas de conscientização para funcionários públicos sobre phishing e outras técnicas de engenharia social é muito importante, uma vez que estes que são os principais vectores de ataque de ransomware.

Este ataque, a par do ataque por alteração de IBANs no Segurança Social Directa
https://cidadaospelaciberseguranca.com/2024/10/04/alerta-de-seguranca-ibans-da-seguranca-social-direta-alterados-indevidamente-propostas-e-recomendacoes/
os problemas no AforroNet https://cidadaospelaciberseguranca.com/2024/10/09/recomendacoes-de-seguranca-para-o-aforronet-proteccao-de-credenciais-e-melhoria-das-praticas-de-autenticacao/
O ataque de DDosS da App Navegante
https://cidadaospelaciberseguranca.com/2024/10/01/app-navegante-sob-ataque-informatico/
e até o roubo de computadores do MAI
https://cidadaospelaciberseguranca.com/2024/08/30/roubo-de-computadores-no-mai-recomendacoes-ignoradas-a-ciberseguranca-em-risco-no-estado-portugues/
Indicam que as questões da cibersegurança não estão a ser devidamente endereçadas pelo Estado Português colocando em risco serviços essenciais e erodindo a confiança dos cidadãos nos serviços públicos.

Este ataque de ransomware destaca a necessidade de reforçar as defesas de cibersegurança do Estado português, tanto na detecção preventiva de ameaças quanto na capacidade de resposta a incidentes. Com uma abordagem robusta, envolvendo auditorias, melhoria dos backups e segmentação de redes, será possível mitigar os impactos de futuros ataques e restaurar a confiança pública na segurança dos serviços digitais. O governo também deve agir com transparência para manter a população informada e assegurar uma resposta coordenada e eficiente.

Ler também:
Avalie os seus conhecimentos e preparação para resistir a um ataque de Ransomware
na óptica do utilizador final:
https://forms.gle/2cyzuFU57bL4DSUD6

e, muito importante, para dissuadir o interesse de atacar órgãos do Estado Central e das Autarquias Locais é preciso:
https://cidadaospelaciberseguranca.com/2022/04/03/peticao-proibir-os-pagamentos-de-ransomware-a-autarquias-empresas-publicas-e-orgaos-do-estado/

Actualização AMA:
https://indisponibilidade.ama.gov.pt
a 14.10.2024:
“Aviso: serviços em recuperação

Atualizado a 14.10.2024 às 16:15

---

A Agência para a Modernização Administrativa, I.P. (AMA) informa que, na sequência dos trabalhos em curso para mitigar o impacto do ataque informático ocorrido a 10 de outubro, está a implementar um conjunto de medidas preventivas e corretivas para garantir que a normalização dos serviços ocorra de forma progressiva e segura.

A AMA mantém o compromisso de repor a normalidade dos serviços digitais e continua a trabalhar em estreita colaboração com as autoridades nacionais competentes em matéria de cibersegurança e cibercrime para restabelecer tão breve quanto a segurança permita o pleno funcionamento das operações.

Neste momento, estão disponíveis os seguintes serviços digitais:

• Autenticação com Chave Móvel Digital (CMD) e Cartão de Cidadão
• Assinatura digital com Cartão de Cidadão
• Notificações Eletrónicas (serviço gov.pt)

Também estão disponíveis os seguintes portais e sites públicos geridos pela AMA:

• Site AMA – informação institucional da Agência para a Modernização Administrativa, I.P.
• gov.pt (parcial) – Portal de serviços públicos da República Portuguesa
• Autenticação.gov – Portal de identificação, autenticação e assinatura digital do Estado Português
• Mosaico – modelo de referência para a Administração Pública
• Mais Transparência – Portal de informação sobre gestão dos recursos públicos do Estado Português
• digital.gov.pt – ponto de partida para a Transformação Digital da Administração Pública

Plataformas e serviços para entidades públicas e privadas:

• GAP – gateway de SMS da Administração Pública
• PPAP – plataforma de Pagamentos da AP
• PI – Plataforma de Integração da iAP
• Abertura de Conta Desmaterializada – atualização dos elementos de identificação aos clientes de Bancos ou Sociedades Financeiras

Agradecemos a compreensão e colaboração de todos os cidadãos, empresas e entidades parceiras face aos constrangimentos causados durante este período.

Ressalva-se que a AMA não vai solicitar, por qualquer canal, informações pessoais para recuperação de credenciais da Chave Móvel Digital (CMD) ou para aceder a serviços. Esses eventuais contactos devem ser ignorados pelo cidadão.”

Actualizações enviadas por leitores e membros da CpC de 14 a 15.10.2024 deste “sistema que não pode falhar”:
1. Ainda não existem informações sobre exfiltrações de dados. Esta é provável mas geralmente ocorre apenas algumas semanas a meses depois do lançamento da encriptação de ficheiros (nota: os ficheiros e/ou dados nos servidores da AMA poderiam já ter algum tipo de encriptação, ou seja, serem inúteis a não ser para quem tenha a chave de encriptação mesmo se forem publicados na Darkweb. Estamos a monitor qualquer eventual aparição. A exflitração da autenticacao.gov que existe é antiga (2022) e dos os logins aqui presentes são inválidos.
2. Confirma-se que a plataforma é necessária para a emissão de receitas por parte dos médicos. Existem, contudo, formas alternativas de o fazer.
3. As aplicações dos hospitais, usadas pelos utentes, e que autenticavam por Chave Móvel foram afectadas.
4. Condutores que dependem da documentação virtual na aplicação móvel id.gov.py (Carta de Condução e Cartão de Cidadão) não a conseguem abrir e ainda surge o erro “Aconteceu um erro no pedido ao servidor. Volte a tentar mais tarde”.
4. Há relatos de algumas Lojas do Cidadão e Conservatórias – em sobrecarga – estão a deixar de atender o telefone (p.ex. Valongo).
5. Este incidente é uma prova cabal (se mais não houvessem) da obsolescência da plataforma autenticacao.gov
6. AMA nega fuga de dados: Mas se houve encriptação de ficheiros, houve acesso local e de rede e se houve não há forma de o garantir de forma absoluta.
7. Logo que for possível: todos os utilizadores devem mudar as credenciais de acesso
8. O RCBE já permite login via Chave Móvel: https://rcbe.justica.gov.pt/Autenticacao
9. Foram afectados os serviços de renovação de certidões permanentes de empresas (incluindo os pagamentos).
9. O Registo Criminal funciona https://registocriminal.justica.gov.pt/ mas alerta para “Já foi reposta a plataforma de autenticação da AMA, contudo ainda existem constrangimentos na plataforma de pagamentos, que impossibilitam a conclusão dos pedidos. Pedimos desculpa por qualquer inconveniente.  Em caso de urgência, pode efetuar o pedido junto de uma secretaria de um tribunal ou no Balcão dos Serviços Centrais no Campus de Justiça em Lisboa.“
10. A renovação dos Cartãos de Cidadão foi afectada (a activação via Chave Móvel Digital).
11. A assinatura digital de PDFs (contratos, documentos, mails, tec) foi afectada.
12. A emissão de recibos verdes no site das Finanças.
13. Foi afectada (está a ser?) a submissão de projectos SCIE na plataforma do eportugal que ainda mostra a mensagem na “https://indisponibilidade.ama.gov.pt“
14. Bancos como a CGD removeram essa forma de login: https://www.cgd.pt/Particulares/Pages/Particulares_v2.aspx e no BCP Millennium, após login com Chave Móvel surge o erro “Pedimos desculpa, mas de momento não podemos satisfazer o seu pedido. Tente mais tarde.”
15. Pelo menos em alguns utilizadores da aplicação móvel “Autenticação.gov” o login foi reset e obriga a reactivação mas a aplicação bloqueia ao se inserir o PIN recebido por SMS.
16. O Login no MySNS via Chave Móvel Digital em https://servicos.min-saude.pt/utente/ ainda devolve o erro “ERRO Não foi possível realizar a operação”