A notícia surgiu esta segunda-feira num fórum frequentado por piratas informáticos. O hacker, identificado como Boogeymann Hoboper, alega ter recolhido dados pessoais de clientes do Locky, o sistema de cacifos automáticos dos CTT disponível 24 horas por dia em todo o país.
Segundo a CNN Portugal, a intrusão terá abrangido 1.890 cacifos e os dados incluem nomes, números de telefone, endereços de email, histórico de encomendas e datas e horas de entrega.
Os CTT ainda não emitiram qualquer comunicação oficial sobre o sucedido. O que sabemos vem, por agora, do próprio atacante, pelo que os dados devem ser tratados com cautela até haver confirmação das autoridades.
O risco real: phishing altamente credível
O que torna este alegado ataque particularmente perigoso não é apenas a quantidade de dados, é a qualidade deles. Com acesso a histórico de encomendas reais, um criminoso consegue construir mensagens de phishing quase impossíveis de distinguir de comunicações legítimas dos CTT. Imagina receber um SMS com o teu nome, o artigo que encomendaste e um pedido de pagamento de dois euros para desalfandegamento. A probabilidade de clicar é muito maior do que num esquema genérico.
Este padrão já é bem conhecido em Portugal. O Fisco alertou recentemente para novas vagas de emails e SMS falsos e o SNS 24 tem feito alertas semelhantes nos últimos meses. A diferença é que, neste caso, os criminosos podem ter dados concretos teus para tornar a mensagem ainda mais convincente.
O que deves fazer agora
Se usas o Locky com regularidade, ativa já a desconfiança máxima para qualquer comunicação que chegue em nome dos CTT nas próximas semanas. Não cliques em links de SMS ou emails que peçam pagamentos, mesmo que pareçam legítimos. Vai sempre diretamente ao site oficial ou à app. Como recordam os especialistas de cibersegurança, saber distinguir um alerta real de um esquema de phishing em 2026 já não é opcional.
Verifica também se recebeste alguma comunicação estranha nas últimas horas e, em caso de dúvida, contacta os CTT diretamente através dos canais oficiais.
Um problema estrutural que não é novo
Este incidente acontece numa altura em que Portugal reforça o seu quadro legal de cibersegurança. A nova lei obriga as empresas a comunicar ataques informáticos em 24 horas, o que significa que os CTT têm agora um prazo muito curto para se pronunciar oficialmente caso o ataque seja confirmado. A lei é clara: as empresas já não podem esconder quando são atacadas.
