Hackers tiveram acesso a dados pessoais de 20 milhões de clientes da empresa em Espanha.
A Endesa foi alvo de um ataque em Espanha de piratas informáticos. A companhia garante que a sua operação em Portugal não foi atingida.
“Os clientes de Portugal não foram afetados pelo ataque informático”, garantiu fonte oficial da Endesa Portugal ao JE.
Já em Espanha, a companhia comunicou publicamente ter “detetado um incidente de segurança, que permitiu o acesso não autorizado e ilegítimo à sua plataforma comercial. Este incidente comprometeu a confidencialidade de certos dados dos quais a Endesa Energia é responsável”.
“Detetamos evidências de um acesso não-autorizado e ilegítimo a certos dados pessoais dos nossos clientes relativos aos seus contratos energéticos”, pode-se ler no comunicado da empresa.
A investigação foca-se no acesso dos hackers a dados como, os contactos dos clientes, cartões do cidadão e dados bancários, como o IBAN, rejeitando que as passwords tenham sido divulgadas.
A companhia diz ter ativados os protocolos e procedimentos de segurança para “conter, mitigar os efeitos e impedir que se repita”.
“À data desta comunicação, não há prova de que tenha sido realizado o uso fraudulento de algum dos dados afetados, resultando improvável que se materialize uma afetação de alto risco para os seus direitos e liberdades”, diz a companhia.
O ataque foi divulgado pela própria empresa, revelando que teve lugar na Endesa Energia e na Energia XXI, e que as passwords dos clientes não foram afetadas.
O ataque foi divulgado num fórum da Dark Web há uma semana, com mais de 1 terabyte de informação relativo a 20 milhões de clientes, segundo o “Escudo Digital”, citado pelo “Expansion”.
Entre os riscos, os piratas podem tentar fazer-se passar por um dos clientes. Outro dos riscos é a publicação dos dados em fóruns digitais ou utilizá-los para enviar mensagens fraudulentas em campanhas de phishing ou spam.
Uma das formas mais habituais de monetizar os dados roubados é contactar diretamente os clientes, via email, SMS ou chamadas telefónicas. Fazendo-se passar pela empresa, o objetivo é pedir dados adicionais, carregar em algum link duvidoso ou a realização de pagamentos.
A Endesa está a aconselhar a mudança das passwords, ficar alerta sobre comunicações suspeitas, a ativação de medidas adicionais de autenticação.
Várias grandes empresas espanholas foram alvo de ciberataques nos últimos meses: Iberia, Iberdrola, Repsol ou Banco Santander.
