Circula nos fóruns de cibercrime uma publicação no BreachForums (um dos principais mercados da dark web para compra e venda de dados roubados) em que alguém afirma estar na posse de uma base de dados associada ao sistema de cacifos inteligentes Locky, operado pelos CTT – Correios de Portugal.

Segundo a alegação, o conjunto de dados incluiria:

– Nomes completos,

– Números de telefone,

– Endereços de correio eletrónico,

– Números de identificação de encomendas e

– Registos de data e hora de levantamento de encomendas.

O volume alegado ultrapassa o milhão de registos.

A 27 de abril de 2026 ainda não havia confirmação da veracidade desta fuga (as falsas alegações de exfiltração não são raras) nem da parte dos CTT, da Comissão Nacional de Proteção de Dados (CNPD) ou do Centro Nacional de Cibersegurança (CNCS). A alegação é, portanto e por enquanto, não verificada…

Isto não significa que deva ser ignorada. Na prática, este padrão – publicação num conhecido fórum de cibercrime, silêncio institucional, ausência de amostra verificável – é recorrente em incidentes deste tipo que acabam por ser confirmados semanas ou meses depois. A ausência de desmentido não é garantia de segurança… Acresce que o BreachForums, apesar das sucessivas desativações por parte de autoridades de vários países, consegue regressar e continua a ser usado como plataforma de difusão de dados furtados. 

Muitos utilizadores do Locky poderão subestimar o valor da informação publicitada como “exfiltrada”: datas e horas de levantamento de encomendas ou identificadores de entrega. Mas, a verdade é que, juntamente com nome, telefone e e-mail, este conjunto forma um perfil comportamental: quem a possui sabe onde o utilizador vai, quando vai, com que frequência compra online e, por inferência, em que períodos está regularmente ausente de casa.

Para atacantes que praticam “phishing” muito direcionado ou engenharia social por voz (vishing), esta combinação de dados e a construção de perfil dos seus alvos é valiosa precisamente porque permite construir mensagens fraudulentas altamente credíveis – por exemplo, uma SMS ou e-mail a imitar os CTT, com referência ao número real da encomenda e à data de levantamento, a pedir que o utilizador “confirme os seus dados” para receber uma nova encomenda.

Os sistemas de cacifos inteligentes centralizam grandes volumes de dados de utilizadores num único ponto. Esta arquitetura é conveniente para os operadores, mas cria um alvo muito apetecível para os cibercriminosos. Uma única intrusão bem-sucedida pode expor dados de centenas de milhar ou milhões de utilizadores que nunca foram informados dos riscos associados ao simples ato de levantar uma encomenda.

Portugal não dispõe, até à data, infelizmente de legislação que imponha auditorias técnicas periódicas obrigatórias a sistemas deste tipo, nem de prazos de notificação suficientemente curtos para garantir que os cidadãos afetados possam reagir em tempo útil.

Se tem conta no Locky o que pode fazer agora?

1. Não reutilize a palavra-passe:

Se utiliza o mesmo e-mail e palavra-passe da conta CTT/Locky noutros serviços (redes sociais, banca, e-mail) mude-a imediatamente em todos esses serviços. A reutilização de credenciais é uma das principais causas de comprometimento em cascata e é uma boa prática que deve usar sempre (registe as suas palavras-passes num gestor como o Bitwarden).

2. Ative a autenticação em dois fatores (2FA) em todos os serviços que a suportem:

Em particular no e-mail que usa para registos em plataformas como a Lockt. Mesmo que a sua palavra-passe seja conhecida, o 2FA dificulta significativamente o acesso não autorizado.

3. Desconfie de mensagens sobre entregas:

Nas próximas semanas, preste atenção redobrada a SMS, e-mails ou chamadas relacionados com encomendas dos CTT. Mensagens com links para “reagendar entrega”, “pagar taxa alfandegária” ou “confirmar dados” são padrões clássicos de “phishing” e “smishing”. Quando em dúvida, aceda sempre diretamente ao site oficial (ctt.pt) sem clicar em links recebidos.

4. Verifique se o seu e-mail aparece em fugas de dados conhecidas:

Consulte o serviço https://haveibeenpwned.com para saber se o seu endereço de e-mail já foi exposto noutras fugas de dados.

5. Fique atento a comunicações oficiais

Caso os CTT ou a CNPD emitam comunicações sobre este incidente, siga as instruções que venham a divulgar. Em caso de confirmação de fuga de dados, a CNPD tem o dever legal de zelar pelos seus direitos enquanto titular dos dados, incluindo o direito a ser notificado e a apresentar queixa.

A CpC continuará a acompanhar este caso: Se houver confirmação oficial ou novas informações verificáveis, publicaremos uma atualização.