Circula nos fóruns de cibercrime uma publicação no BreachForums (um dos principais mercados da dark web para compra e venda de dados roubados) em que alguém afirma estar na posse de uma base de dados associada ao sistema de cacifos inteligentes Locky, operado pelos CTT – Correios de Portugal.

Segundo a alegação, o conjunto de dados incluiria:

– Nomes completos,

– Números de telefone,

– Endereços de correio eletrónico,

– Números de identificação de encomendas e

– Registos de data e hora de levantamento de encomendas.

O volume alegado ultrapassa o milhão de registos.

A 27 de abril de 2026 ainda não havia confirmação da veracidade desta fuga (as falsas alegações de exfiltração não são raras) nem da parte dos CTT, da Comissão Nacional de Proteção de Dados (CNPD) ou do Centro Nacional de Cibersegurança (CNCS). A alegação é, portanto e por enquanto, não verificada…

Isto não significa que deva ser ignorada. Na prática, este padrão – publicação num conhecido fórum de cibercrime, silêncio institucional, ausência de amostra verificável – é recorrente em incidentes deste tipo que acabam por ser confirmados semanas ou meses depois. A ausência de desmentido não é garantia de segurança… Acresce que o BreachForums, apesar das sucessivas desativações por parte de autoridades de vários países, consegue regressar e continua a ser usado como plataforma de difusão de dados furtados. 

Muitos utilizadores do Locky poderão subestimar o valor da informação publicitada como “exfiltrada”: datas e horas de levantamento de encomendas ou identificadores de entrega. Mas, a verdade é que, juntamente com nome, telefone e e-mail, este conjunto forma um perfil comportamental: quem a possui sabe onde o utilizador vai, quando vai, com que frequência compra online e, por inferência, em que períodos está regularmente ausente de casa.

Para atacantes que praticam “phishing” muito direcionado ou engenharia social por voz (vishing), esta combinação de dados e a construção de perfil dos seus alvos é valiosa precisamente porque permite construir mensagens fraudulentas altamente credíveis – por exemplo, uma SMS ou e-mail a imitar os CTT, com referência ao número real da encomenda e à data de levantamento, a pedir que o utilizador “confirme os seus dados” para receber uma nova encomenda.

Os sistemas de cacifos inteligentes centralizam grandes volumes de dados de utilizadores num único ponto. Esta arquitetura é conveniente para os operadores, mas cria um alvo muito apetecível para os cibercriminosos. Uma única intrusão bem-sucedida pode expor dados de centenas de milhar ou milhões de utilizadores que nunca foram informados dos riscos associados ao simples ato de levantar uma encomenda.

Portugal não dispõe, até à data, infelizmente de legislação que imponha auditorias técnicas periódicas obrigatórias a sistemas deste tipo, nem de prazos de notificação suficientemente curtos para garantir que os cidadãos afetados possam reagir em tempo útil.

Se tem conta no Locky o que pode fazer agora?

1. Não reutilize a palavra-passe:

Se utiliza o mesmo e-mail e palavra-passe da conta CTT/Locky noutros serviços (redes sociais, banca, e-mail) mude-a imediatamente em todos esses serviços. A reutilização de credenciais é uma das principais causas de comprometimento em cascata e é uma boa prática que deve usar sempre (registe as suas palavras-passes num gestor como o Bitwarden).

2. Ative a autenticação em dois fatores (2FA) em todos os serviços que a suportem:

Em particular no e-mail que usa para registos em plataformas como a Lockt. Mesmo que a sua palavra-passe seja conhecida, o 2FA dificulta significativamente o acesso não autorizado.

3. Desconfie de mensagens sobre entregas:

Nas próximas semanas, preste atenção redobrada a SMS, e-mails ou chamadas relacionados com encomendas dos CTT. Mensagens com links para “reagendar entrega”, “pagar taxa alfandegária” ou “confirmar dados” são padrões clássicos de “phishing” e “smishing”. Quando em dúvida, aceda sempre diretamente ao site oficial (ctt.pt) sem clicar em links recebidos.

4. Verifique se o seu e-mail aparece em fugas de dados conhecidas:

Consulte o serviço https://haveibeenpwned.com para saber se o seu endereço de e-mail já foi exposto noutras fugas de dados.

5. Fique atento a comunicações oficiais

Caso os CTT ou a CNPD emitam comunicações sobre este incidente, siga as instruções que venham a divulgar. Em caso de confirmação de fuga de dados, a CNPD tem o dever legal de zelar pelos seus direitos enquanto titular dos dados, incluindo o direito a ser notificado e a apresentar queixa.

A CpC continuará a acompanhar este caso: Se houver confirmação oficial ou novas informações verificáveis, publicaremos uma atualização.


Atualização 1 (via https://darkwebinformer.com/):
“‣Threat Actor: Boogeymann
(…)1,900+ internal locker specifications and configurations (all of them)
(…)⠀
Internal infrastructure fields:
▪️ Private IPs
▪️ Machine types
▪️ Locker IDs
▪️ Backend versions”

Adenda de 28 de abril de 2026

---

À data desta adenda, passaram quatro semanas desde que a alegada fuga de dados do sistema Locky surgiu publicada no BreachForums. No site dos CTT — nem na página principal em ctt.pt/particulares nem na secção dedicada a alertas de phishing — existe qualquer comunicação sobre este incidente. A última publicação nessa secção data de 31 de março de 2026 e refere mensagens fraudulentas no WhatsApp que usam a imagem da empresa. Sobre a alegada exposição de dados de mais de um milhão de utilizadores do Locky: silêncio absoluto.

Este silêncio pode ter consequências jurídicas:

O artigo 34.º do RGPD obriga o responsável pelo tratamento a comunicar uma violação de dados pessoais aos titulares afetados, sem demora injustificada, sempre que essa violação seja suscetível de implicar um elevado risco para os seus direitos e liberdades. A omissão desta comunicação constitui uma infração sujeita ao regime de coimas previsto no artigo 83.º, n.º 4, alínea a) do RGPD: até 10 milhões de euros ou, no caso de empresas, até 2% do volume de negócios anual mundial do exercício anterior, consoante o valor mais elevado.

A mesma moldura cobre igualmente a omissão de notificação à CNPD no prazo de 72 horas após o conhecimento do incidente (artigo 33.º do RGPD). As duas infrações são autónomas e acumulam-se. A CNPD dispõe de margem para agravar a sanção em função da gravidade do incidente, do número de afetados e da existência de negligência ou dolo.

Os CTT confirmaram entretanto, de forma minimalista à CNN, que “a informação em causa corresponde exclusivamente a dados de contacto para notificação de entregas“, excluindo moradas completas, palavras-passe ou dados financeiros. Esta delimitação, a ser verdadeira, pode influenciar a qualificação do risco: mas não afasta por si só a obrigação de comunicação aos clientes, que depende de uma avaliação substantiva do risco para os titulares, não de uma declaração unilateral da empresa afetada.

---

O que os dados de exposição revelam

A plataforma de inteligência de ameaças 13com apresenta um quadro consideravelmente preocupante que sugere que podem estar mais dados comprometidos:

• 565 colaboradores com credenciais expostas em domínio @ctt.pt
• 6 746 máquinas infetadas com credenciais CTT capturadas pelo browser
• 10 163 clientes CTT presentes em registos de stealers
• 13 subdomínios CTT observados em browsers infetados
• 35 392 cookies persistentes dos quais 5 381 ainda válidos à data e 92 com validade superior a 180 dias

Este último ponto merece atenção especial: um cookie persistente válido equivale a acesso autenticado sem necessidade de palavra-passe e sem contornar qualquer segundo fator de autenticação: Na prática, uma sessão aberta.

Acresce que o portal continua operacional sem autenticação multifator obrigatória e com vulnerabilidades de tipo IDOR (Insecure Direct Object Reference) reportadas: isto é, falhas que podem permitir aceder a dados de outros utilizadores através de manipulação direta de identificadores nas chamadas à API.

---

O que já está confirmado por utilizadores

Utilizadores que acederam ao ficheiro anunciado no Breached confirmam a presença dos seus dados: nome completo, endereço de e-mail, número de telemóvel e código de encomenda: em alguns casos repetido dezenas de vezes. O ficheiro ultrapassa um milhão de linhas, cada uma correspondendo a um registo completo.

A probabilidade de novas campanhas de smishing e vishing direcionadas, usando referências reais de encomendas para conferir credibilidade às mensagens fraudulentas, é elevada. As recomendações publicadas no alerta original mantêm-se integralmente válidas.