A recente exfiltração de dados da Worten, alegadamente realizada pelo grupo Alcxtraze, representa um grave risco para milhares de clientes e para as centenas funcionários da empresa envolvidos.

Nesta exfiltração constam informações sensíveis, tais como nomes completos, moradas, contactos telefónicos e de email, facturas, dados financeiros e bancários, conversações com o suporte, passwords no site, históricos de compras e até mesmo NIFs.

O Alcxtraze alega ter obtido estes dados a 22.03.2025 (o que é improvável) e que tem na sua posse 9.6 milhões de registos.

Perante este incidente, é essencial que a Worten adote medidas urgentes para mitigar os danos e restaurar a confiança dos seus clientes.

As acções urgentes que a CpC: Iniciativa Cidadãos pela Cibersegurança recomenda à Worten:

1. A Worten deve notificar imediatamente todos os clientes afectados, fornecendo informações claras sobre os dados expostos e orientações para minimizar riscos. Contudo, à manhã de 26.03.2025 nenhuma comunicação tinha sido enviada a vários clientes da empresa do grupo Sonae apesar da exfiltração ser pública desde 26.03.2025 e nada existia ainda nem no site oficial da empresa nem na sua página de facebook à data de hoje. De sublinhar que se os dados foram exfiltrados é praticamente certo que o agente tentou chantagear a empresa e que esta não cedeu pelo que já deveria haver conhecimento interno do incidente há vários dias senão semanas ou até meses.

2. A Worten deve rever e melhorar os seus protocolos de armazenamento e protecção de dados, introduzindo encriptação nas suas bases de dados (sobretudo na forma como guarda as passwords nas suas bases de dados) e melhorando as suas práticas de gestão de acessos a estas bases de dados. Em particular a empresa deve rever onde e como os seus utilizadores/funcionários guardam as passwords nos seus browsers e se estes sistemas internos são ou não acessíveis a partir do exterior (ver caso do https://cidadaospelaciberseguranca.com/2025/03/09/sigre-riscos-de-seguranca-e-a-urgencia-de-modernizacao-do-sistema-eleitoral-portugues/

3. Queremos crer que a Worten cumpriu com todas as directrizes do RGPD e está activamente a cooperar com a Comissão Nacional de Proteção de Dados (CNPD) para investigar e remediar a situação. A omissão, contudo, de qualquer informação sobre este incidente nos seus meios oficiais deixa-nos preocupados quanto a isto e iremos remeter esta publicação e alertas para o CNCS e CNPD.

4. A Worten deveria adquirir e oferecer aos clientes afectados um sistema de monitorização de actividades suspeitas. Por exemplo:
a. SIBS Protect: Monitoriza transacções bancárias e ajuda a detectar actividades suspeitas relacionadas com cartões de pagamento.
b. Equifax e Experian: empresas de análise de crédito que oferecem serviços de monitorização de identidade e notificações de possíveis fraudes associadas aos dados financeiros dos clientes.
c. Bitdefender Digital Identity Protection: Verifica se informações pessoais, como e-mails e números de telefone, foram comprometidas em fugas de dados e alerta o utilizador em tempo real.

5. A Worten deve disponibilizar imediatamente (já o devia ter feito) um canal de suporte exclusivo para esclarecer dúvidas e auxiliar clientes na protecção contra possíveis fraudes.

O Que Devem Fazer os Clientes Afetados:
1. Aguarde notificações da Worten no seu site https://www.worten.pt/ e https://www.facebook.com/wortenpte siga apenas instruções divulgadas por canais oficiais para evitar cair em esquemas fraudulentos (é provável que surjam em breve como alertámos já em https://cidadaospelaciberseguranca.com/2025/02/27/mais-um-cripto-scam-usando-o-nome-de-ricardo-araujo-pereira/).
2. Se os seus dados estão nesta exfiltração já estão na posse de outros agentes maliciosos que os usarão em campanhas de phishing e de forma altamente personalizada: Não clique em links suspeitos. Nunca forneça informações pessoais por telefone, e-mail ou mensagens não verificadas.
3. Se tem conta em https://www.worten.pt/cliente/conta#/myLogin ou se usa a password desta conta noutros serviços altera-a imediatamente em todos (por regra: não partilhe passwords entre sites e aplicações e use gestores de passwords com biometria).
4. Esteja muito atento aos seus extractos bancários e nomeadamente a transacções suspeitas.
5. Adquira serviços de Monitorização de Identidade (se a Worten não o fizer por si).

Este incidente destaca a crescente necessidade de reforçar a cibersegurança nas empresas portuguesas e de garantir que as empresas protejam adequadamente as informações dos seus clientes.

A Worten deve agir rapidamente para corrigir as falhas identificadas, ser transparente no que aconteceu e garantir que os consumidores não sejam prejudicados por esta grave violação de dados.

Actualização:
“Até agora, “a Worten não recebeu qualquer contacto ou pedido de resgate e acredita que, pelo facto de os seus sistemas não terem sido comprometidos, não venha a existir”.

Sublinhando que o “compromisso da Worten é com os seus clientes e fornecedores, […] ativou de imediato os protocolos internos de cibersegurança e está a cooperar com as autoridades competentes”.”
https://www.dn.pt/economia/worten-garante-que-sistemas-n%C3%A3o-foram-comprometidos-ap%C3%B3s-rumores-na-dark-web

Contudo, a alegação de que existe o “facto de os seus sistemas não terem sido comprometidos” não indica que não o foram: apenas que desconhece que o foram (que é a situação que se encontram, no início do processo, todas as entidades comprometidas.

Na amostra desta alegada exfiltração surgem 3 faturas (uma por erro) e uma conjunto de conversações, com emails e dados entre o seu suporte técnico e o da Worten que aparentam serem credíveis.

Por outro lado, no site https://whiteintel.io/ e no https://socradar.io/labs/dark-web-report/ também é possível constatar que existem dados da Worten à venda na darkweb. Entre as quais constam “Employee Credential Leak” que podem ser a fonte deste alegado incidente.