A conta Dark Web Informer partilhou capturas de ecrã de um portal de extorsão onde o grupo LAPSUS$ anunciava ter publicado dados da Vodafone. A mensagem era curta e direta: negociações falhadas, dados tornados públicos, operação encerrada. O alegado material inclui acesso à infraestrutura interna da operadora e repositórios GitHub privados com código, scripts e configurações técnicas.
Até ao momento, a Vodafone não emitiu qualquer comunicado. Não há confirmação do incidente, nem da autenticidade do que foi publicado.
O que é que pode ter sido exposto e o que não foi
Perceber a diferença entre um ataque a infraestrutura técnica e uma fuga de dados de clientes é essencial para não entrar em pânico desnecessário. O LAPSUS$ não alegou ter acedido a nomes, moradas, números de telefone ou dados bancários de clientes. O que alega ter obtido é material técnico interno: código-fonte, documentação de sistemas, estrutura de repositórios.
Isso não significa que seja inofensivo. Quem tiver acesso à arquitetura interna de uma operadora fica com um mapa detalhado de como os seus sistemas funcionam, onde estão as vulnerabilidades e por onde se pode tentar entrar a seguir. É precisamente este tipo de informação que alimenta ataques mais cirúrgicos no futuro, incluindo esquemas de phishing muito mais convincentes, como os que continuam a proliferar em Portugal em 2026.
Um grupo que vive da pressão pública
O LAPSUS$ construiu a sua reputação neste modelo: entrar, roubar, anunciar em público, negociar, publicar.
Ao contrário dos grupos de ransomware tradicionais que bloqueiam sistemas, este grupo especializa-se em extorsão por exposição. Já passou pela Microsoft, Nvidia, Samsung, Uber e a Rockstar Games. Em muitos desses casos, o material publicado confirmou o acesso, mas sem impacto direto nos utilizadores finais.
O padrão está a repetir-se em 2026. Há poucas semanas, a Rockstar foi hackeada com o mesmo modelo de extorsão, e há dias a plataforma Canvas sofreu um ataque que comprometeu dados de milhões de estudantes, incluindo de universidades portuguesas.
Já aconteceu antes, e Portugal pagou o preço
Em fevereiro de 2022, a Vodafone foi alvo de um dos maiores ciberataques de sempre, com impacto nas redes móveis, nos serviços de emergência e nos sistemas multibanco. Nessa mesma altura, o LAPSUS$ alegava já ter 200 GB de código-fonte da operadora. As duas situações nunca foram confirmadas como relacionadas, mas o padrão é o mesmo.
Entretanto, Portugal aprovou uma nova lei que obriga empresas a comunicar ataques informáticos em 24 horas, alinhada com a diretiva europeia NIS2. Se o incidente for confirmado, a Vodafone tem obrigações legais claras. E os clientes têm o direito de saber.
