Atualização com declaração dos CTT:
Os CTT informam que foi identificada exposição externa de um conjunto limitado de dados associados à rede de cacifos Locky, relacionada com um incidente de segurança entretanto contido.
A informação em causa corresponde exclusivamente a dados de contacto para notificação de entregas. Não estão envolvidos dados como moradas completas, palavras passe ou dados financeiros.
O Centro Nacional de Cibersegurança já foi notificado e os clientes afetados serão contactados pelos canais oficiais, para esclarecimento e acompanhamento personalizado.
Define a Leak como fonte favorita na Pesquisa Google e recebe mais notícias nossas.
Os CTT garantem que o sistema não foi comprometido, mantendo-se o serviço Locky em funcionamento.
A proteção dos dados pessoais dos clientes é prioritária para os CTT, que reforçam continuamente os mecanismos de segurança e prevenção.
Atualização (27/4/2026): O ataque teve como alvo as máquinas que dão vida aos cacifos, e não as bases de dados da própria empresa CTT. Algo que deve deixar os clientes do Banco CTT um pouco mais sossegados. (Ainda assim, não seria estranho ver ataques com SMS e e-mails falsos. Por isso cuidado!)
Dito tudo isto, foi assim possível “roubar” números de telemóvel, e-mails, identificação de encomendas, horas de recolha e depósito de encomendas, etc. Também foram recolhidos mais dados de todos os 1900 cacifos da rede, como podes ver nas imagens abaixo.
Normalmente, cada ID de encomenda tem associados outros dados, como moradas e nomes. Mas o Leak ainda não mencionou nada acerca desses dados potencialmente mais sensíveis.
Artigo original: Esta é daquelas notícias que ninguém quer receber, mas que infelizmente parece ser o “pão nosso de cada dia” nos tempos que correm. Ou seja, se usas os cacifos Locky dos CTT para receber as tuas encomendas com total privacidade, temos más notícias para ti.
Ou seja, a tua “privacidade” pode ter acabado de ser vendida ao desbarato num fórum qualquer da especialidade.
Mais concretamente, de acordo com as informações que chegaram às nossas mãos a partir de uma fonte anónima, a base de dados do sistema Locky terá sido comprometida num ataque de escala massiva. Estamos a falar de algo que, se se confirmar, é um autêntico terramoto digital. Neste momento a Leak tentou aceder aos links que nos foram enviados para confirmar a autenticidade da informação mas ainda não nos foi possível aceder. Das duas uma, ou a informação foi apagada ou trata-se apenas de uma informação sem fundamento.
Leak nos CTT Locky: Nomes, moradas e telefones na Internet?
Caso de confirme a veracidade das informações, este leak pode ter exposto mais de 1 milhão de registos de envio e receção de encomendas. Isto significa que nomes completos, moradas físicas (e as moradas virtuais dos cacifos), números de telefone e endereços de e-mail de uma fatia gigante da população portuguesa podem estar agora nas mãos de criminosos.
Ou seja, para quem usa o sistema precisamente para não dar a morada de casa às lojas online, o “tiro saiu pela culatra”.
Neste caso mais específico, nem precisas de ter conta nos CTT. Se já usaste apps como a Wallapop ou Vinted, os teus dados também fazem parte do sistema.
O que pode acontecer?
No fim do dia, se esta base de dados anda a circular, o risco de ataques de “phishing” direcionados, burlas via SMS (o famoso Olá Pai/Olá Mãe) ou até roubo de identidade aumenta de forma exponencial.
Conclusão: O que deves fazer agora?
Embora os CTT ainda não tenham emitido um comunicado oficial a confirmar a extensão total deste leak, e isto não passar (pelo menos por enquanto) de um “leak” anónimo… se tens conta no sistema Locky ou no portal dos CTT, é boa ideia alterar a tua password imediatamente. No fim do dia, a prevenção é a única arma que nos resta quando as grandes entidades falham na guarda dos nossos dados.
O meu palpite é que vamos ver uma onda de SMS fraudulentas nas próximas semanas, muito mais convincentes do que o habitual, já que agora os burlões sabem exatamente quem tu és e onde recebes as tuas encomendas. Fica atento e não cliques em links suspeitos, mesmo que pareçam vir dos CTT.
