Iniciativa CpC: Cidadãos pela Cibersegurança

Locky (CTT): os seus dados foram expostos e a empresa mantém silêncio. Saiba como agir.

Published by

Rui Martins

on

CpC — Cidadãos pela Cibersegurança | 2 de maio de 2026

A 27 de abril de 2026, surgiu publicado no BreachForums — um dos principais mercados da dark web para compra e venda de dados roubados — um ficheiro alegadamente contendo mais de um milhão de registos associados ao Locky, o sistema de cacifos inteligentes operado pelos CTT – Correios de Portugal. Um registo não equivale a um utilizador: cada levantamento de encomenda gera uma entrada na base de dados, pelo que um utilizador frequente aparece múltiplas vezes. O número de utilizadores distintos afetados é desconhecido — os CTT não o divulgaram — mas, para uma rede com mais de 1.000 cacifos distribuídos por todo o território nacional, com vários anos de operação, a estimativa razoável situa-se entre várias centenas de milhares de pessoas. Utilizadores que acederam ao ficheiro confirmaram a presença dos seus próprios dados: nome completo, endereço de e-mail, número de telemóvel e códigos de encomendas.

A 2 de maio de 2026 — cinco dias depois — os CTT não publicaram qualquer comunicação sobre este incidente no seu site (ctt.pt) nem na sua página oficial do Facebook. A secção de alertas de phishing do site dos CTT tem a sua última publicação datada de 31 de março de 2026, anterior ao incidente. O silêncio é total.

Os CTT confirmaram de forma minimalista, apenas à CNN Portugal, que os dados expostos correspondem a “dados de contacto para notificação de entregas”. Esta declaração unilateral não substitui a obrigação legal de notificar os titulares afetados — e não afasta por si só essa obrigação, que depende de uma avaliação substantiva do risco para os titulares, não de uma declaração da empresa afetada.

Este guia destina-se a todos os utilizadores do Locky que pretendam exercer os seus direitos e pressionar os CTT a agir com transparência e responsabilidade.

Os CTT já eram o alvo preferencial de campanhas de phishing em Portugal. Agora os criminosos podem ter os seus dados reais.

Antes deste incidente, os CTT já eram uma das marcas mais frequentemente abusadas em campanhas de phishing e smishing em Portugal. Não é por acaso: são a maior operadora postal do país, com presença quotidiana na vida de milhões de pessoas, e o modelo de negócio — notificações de entrega por SMS e e-mail — é estruturalmente indistinguível de uma mensagem de phishing mal executada. Os criminosos sabem isso há anos.

O que este incidente muda é o grau de precisão disponível para essas campanhas. Até agora, as mensagens fraudulentas a imitar os CTT eram enviadas em massa, sem qualquer relação com encomendas reais. A partir do momento em que existe um ficheiro com nome, telefone, e-mail e código de encomenda real de centenas de milhares de pessoas, um atacante pode construir mensagens que mencionam o código correto, o número de telefone certo e o nome próprio da vítima. A taxa de sucesso dessas campanhas aumenta de forma significativa — e a responsabilidade por esse aumento é diretamente imputável à falha de segurança que permitiu a exfiltração dos dados.

Esta dimensão tem consequências jurídicas que vão além do RGPD. Ao abrigo do artigo 82.º do RGPD, o titular dos dados tem direito a indemnização por danos materiais ou morais resultantes de uma violação. Se uma vítima de phishing puder demonstrar que a mensagem fraudulenta utilizou dados reais provenientes da fuga do Locky — e que essa utilização foi possível pela inadequação das medidas de segurança dos CTT — existe fundamento para responsabilizar civilmente a empresa pelo dano sofrido. A CpC não presta aconselhamento jurídico individual, mas regista que este é um cenário que os tribunais europeus têm progressivamente reconhecido, e que a acumulação de queixas à CNPD pode ser o primeiro passo para uma eventual ação coletiva.

O que a lei exige dos CTT — e que não foi cumprido

O RGPD impõe três deveres distintos e acumuláveis, todos potencialmente violados neste incidente.

O artigo 32.º obriga o responsável pelo tratamento a aplicar medidas técnicas e organizativas adequadas ao risco, incluindo, quando apropriado, a encriptação dos dados pessoais. O RGPD não impõe encriptação como requisito absoluto — mas as orientações do ENISA e do Comité Europeu para a Proteção de Dados estabelecem que, para sistemas de grande volume com dados de identificação direta, a encriptação em repouso é uma medida esperada e adequada ao risco. Se os dados foram exfiltrados em claro — legíveis sem necessidade de quebrar qualquer cifra — isso é evidência forte de que as medidas de segurança eram inadequadas face à dimensão e natureza do sistema. Essa inadequação é, por si só, uma violação do artigo 32.º, independentemente de qualquer outra infração.

O artigo 33.º obriga à notificação à CNPD no prazo máximo de 72 horas após o conhecimento do incidente. O incumprimento constitui infração autónoma.

O artigo 34.º obriga à comunicação direta aos titulares dos dados afetados, sem demora injustificada, sempre que a violação seja suscetível de implicar risco elevado para os seus direitos e liberdades. Nome, telefone, e-mail e padrões de comportamento de levantamento de encomendas qualificam para esse limiar de risco.

As três infrações são autónomas e acumulam-se. O incumprimento expõe os CTT a coimas até 10 milhões de euros ou 2% do volume de negócios anual mundial, nos termos do artigo 83.º, n.º 4, alínea a) do RGPD.

Passo 1 — Proteja-se imediatamente

Independentemente de qualquer reclamação formal, tome estas medidas agora.

Se acede ao Locky com e-mail e palavra-passe próprios, mude essa palavra-passe imediatamente. Se a reutilizava noutros serviços — e-mail, redes sociais, banca online — mude-a também nesses serviços. A reutilização de credenciais é a principal causa de comprometimento em cascata. Considere usar um gestor de palavras-passe como o Bitwarden.

Se acede ao Locky através de login Google (“Entrar com Google”), não existe palavra-passe Locky para alterar — mas deve verificar quais as aplicações que têm acesso à sua conta Google em myaccount.google.com/permissions e revogar acessos desnecessários. Se essa conta Google é também usada para e-mail ou outros serviços críticos, reforce aí a segurança com prioridade.

O Locky não oferece autenticação em dois fatores (2FA) — uma lacuna de segurança que a CpC considera inaceitável para uma plataforma que centraliza dados de centenas de milhares de utilizadores, e que se soma às preocupações sobre a adequação das medidas de segurança ao abrigo do artigo 32.º do RGPD. Enquanto essa funcionalidade não existir, o elo mais acessível para reforçar é a conta de e-mail ou conta Google que usa para aceder ao serviço. Ative 2FA aí: mesmo que a sua palavra-passe seja conhecida por terceiros, o segundo fator bloqueia o acesso não autorizado.

Nas próximas semanas, desconfie de qualquer SMS, e-mail ou chamada relacionada com entregas dos CTT — especialmente se mencionar o seu nome ou números de encomenda reais, que agora podem estar na posse de atacantes. Mensagens a pedir que “confirme dados”, “pague taxa alfandegária” ou “reagende entrega” são padrões clássicos de phishing e smishing. O facto de uma mensagem conter dados seus corretos não a torna legítima. Em caso de dúvida, aceda sempre diretamente a ctt.pt sem clicar em links recebidos.

Verifique se o seu endereço de e-mail já foi exposto noutras fugas de dados em haveibeenpwned.com.

Passo 2 — Escreva aos CTT a exigir explicações

Envie um e-mail ao Encarregado de Proteção de Dados (DPO) dos CTT. O contacto consta da política de privacidade em ctt.pt. Use o modelo abaixo, adaptando os dados assinalados.

Guarde o comprovativo de envio e a data. Se não obtiver resposta em 30 dias, consulte o Passo 2-B mais abaixo.

Modelo de e-mail — 1.º contacto

Assunto: Exercício de direitos RGPD — Incidente de segurança Locky — [o seu nome]

Exmo(a). Senhor(a) Encarregado(a) de Proteção de Dados dos CTT — Correios de Portugal,

Na qualidade de utilizador(a) do serviço Locky, venho por este meio exercer os meus direitos ao abrigo do Regulamento (UE) 2016/679 (RGPD).

Tomei conhecimento, através de fontes públicas, de que em ou cerca de 27 de abril de 2026 foi publicamente divulgada no fórum BreachForums uma alegada base de dados associada ao sistema Locky, contendo nomes completos, endereços de e-mail, números de telefone e referências de encomendas. Utilizadores afetados confirmaram a presença dos seus dados no ficheiro divulgado.

À data desta comunicação, não recebi qualquer notificação por parte dos CTT sobre este incidente, em aparente incumprimento do dever previsto no artigo 34.º do RGPD.

Solicito, ao abrigo do artigo 15.º do RGPD e no prazo legal de 30 dias:

  1. Confirmação escrita de se os meus dados pessoais foram ou não afetados por este incidente;
  2. Descrição das categorias e volume de dados afetados;
  3. Indicação das medidas técnicas e organizativas adotadas em resposta ao incidente, incluindo confirmação de se os dados eram armazenados de forma encriptada em repouso, ao abrigo do artigo 32.º do RGPD;
  4. Confirmação de que a CNPD foi notificada nos termos do artigo 33.º do RGPD e em que data.

Reservo o direito de apresentar queixa à Comissão Nacional de Proteção de Dados e de reclamar indemnização por danos nos termos do artigo 82.º do RGPD, caso não obtenha resposta adequada no prazo legal.

[Nome completo] [Data] [E-mail de contacto]

Passo 2-B — Se não obtiver resposta em 30 dias

A ausência de resposta no prazo legal é ela própria uma infração autónoma ao RGPD. Envie um segundo e-mail com o modelo abaixo e proceda de imediato ao Passo 3.

Modelo de e-mail — 2.º contacto (após 30 dias sem resposta)

Assunto: 2.º contacto — Exercício de direitos RGPD — Incidente Locky — sem resposta no prazo legal — [o seu nome]

Exmo(a). Senhor(a) Encarregado(a) de Proteção de Dados dos CTT — Correios de Portugal,

Em [data do 1.º e-mail] enviei a esta direção uma comunicação formal ao abrigo do artigo 15.º do RGPD, solicitando confirmação sobre o eventual envolvimento dos meus dados pessoais no incidente de segurança relativo ao sistema Locky, publicamente divulgado a 27 de abril de 2026. Junto, em anexo, cópia dessa comunicação e do comprovativo de envio.

Decorrido o prazo legal de um mês previsto no artigo 12.º, n.º 3 do RGPD, não recebi qualquer resposta.

A ausência de resposta no prazo legal constitui, por si só, uma violação autónoma do RGPD, passível de participação à autoridade de controlo, nos termos dos artigos 12.º, n.º 4 e 77.º do mesmo regulamento.

Concedo um prazo adicional de 10 dias úteis para obter resposta, findo o qual procederei à apresentação de queixa formal junto da Comissão Nacional de Proteção de Dados (CNPD), com referência expressa à tripla infração: a inadequação das medidas de segurança aplicadas ao tratamento (art. 32.º), a omissão de notificação sobre o incidente (art. 34.º) e a falta de resposta ao pedido de acesso (art. 15.º e 12.º). Reservo igualmente o direito de reclamar indemnização por danos ao abrigo do artigo 82.º do RGPD.

[Nome completo] [Data] [E-mail de contacto] [Referência: e-mail enviado a (data do 1.º contacto)]

Passo 3 — Apresente queixa à CNPD

Este passo pode e deve ser dado em paralelo com o Passo 2. É gratuito, não requer advogado e tem efeito real: a CNPD pode investigar, exigir medidas corretivas e aplicar coimas.

Aceda a cnpd.pt e localize a secção de queixas e denúncias. No formulário, descreva:

Que é utilizador do Locky e que tomou conhecimento da divulgação pública do incidente a 27 de abril de 2026. Que até à data da queixa não recebeu qualquer notificação direta dos CTT, em violação do artigo 34.º do RGPD. Que os CTT não publicaram qualquer comunicação sobre o incidente no seu site ou nas suas redes sociais, mantendo silêncio público total durante pelo menos cinco dias. Que, caso os dados tenham sido exfiltrados sem proteção criptográfica, tal constitui indício de incumprimento das obrigações de segurança previstas no artigo 32.º do RGPD, designadamente a adoção de medidas técnicas adequadas ao risco do tratamento, incluindo a encriptação dos dados pessoais enquanto medida esperada para um sistema desta dimensão e natureza. Que os dados exfiltrados potenciam campanhas de phishing e smishing direcionadas contra os próprios titulares, usando os seus dados reais para conferir credibilidade a mensagens fraudulentas, aumentando o risco de dano material direto. Que solicita investigação ao cumprimento dos artigos 32.º, 33.º e 34.º do RGPD e, se aplicável, aplicação das sanções previstas no artigo 83.º, n.º 4.

Quanto mais queixas a CNPD receber sobre o mesmo incidente, maior a pressão institucional e maior a probabilidade de investigação formal.

Passo 4 — Divulgue e mobilize

A pressão coletiva é mais eficaz do que reclamações individuais isoladas. Se conhece outros utilizadores do Locky, partilhe este guia. Partilhe também nas redes sociais, mencionando diretamente a página dos CTT — a visibilidade pública tem impacto na reputação da empresa e cria incentivo adicional para agir.

A CpC continuará a acompanhar este caso e publicará atualizações sempre que houver informação verificável. Se os CTT emitirem comunicação oficial, se a CNPD abrir investigação ou se surgirem campanhas de phishing explorando estes dados, informaremos de imediato.

O que este caso revela sobre um problema maior

A arquitetura dos sistemas de cacifos inteligentes centraliza grandes volumes de dados de utilizadores num único ponto. Esta concentração é conveniente para os operadores, mas cria um alvo de alto valor para atacantes. Uma única intrusão bem-sucedida expõe centenas de milhares de pessoas que nunca foram informadas dos riscos associados ao simples ato de levantar uma encomenda.

Portugal não dispõe de legislação que imponha auditorias técnicas periódicas obrigatórias a sistemas deste tipo. O portal Locky continua operacional sem autenticação multifator obrigatória — uma lacuna que este incidente torna impossível de ignorar. E se os dados exfiltrados estavam armazenados em claro, sem encriptação em repouso, isso não é apenas uma má prática: é evidência de que as medidas de segurança eram inadequadas ao risco de um sistema desta dimensão, em violação do artigo 32.º do RGPD.

Os CTT já eram, antes deste incidente, a marca portuguesa mais abusada em campanhas de smishing. Este incidente não cria esse problema — agrava-o de forma mensurável, ao fornecer aos atacantes munição de precisão: dados reais, de pessoas reais, com referências de encomendas reais. A taxa de sucesso das campanhas fraudulentas que se seguirem será mais elevada do que seria sem esta fuga. Esse agravamento é uma consequência direta e previsível da falha de segurança. E é, juridicamente, um dano imputável.

O silêncio dos CTT não é apenas uma falha de comunicação. É um indicador do padrão sistémico que a CpC tem denunciado: organizações que tratam a proteção de dados como formalidade, não como responsabilidade. A resposta certa começa com transparência imediata — não com declarações minimalistas a um único órgão de comunicação social, cinco dias depois, enquanto centenas de milhares de utilizadores aguardam em silêncio por uma notificação que a lei impõe.

CpC — Cidadãos pela Cibersegurança | cidadaospelaciberseguranca.com Publicado a 2 de maio de 2026

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.