Os CTT confirmaram um incidente de segurança informática associado ao serviço de cacifos Locky, depois de ter sido anunciada num fórum de cibercrime a publicação de uma base de dados alegadamente extraída da rede. O operador postal garante que o incidente foi contido, que o sistema "não foi comprometido" e que o serviço Locky se mantém em funcionamento.
O caso foi inicialmente sinalizado após uma publicação no BreachForums, uma plataforma usada para divulgação, venda e partilha de dados roubados. Segundo o autor da publicação, identificado como Boogeymann Hoboper, a base de dados incluiria informação associada a clientes do serviço Locky, bem como dados técnicos sobre a infraestrutura dos cacifos.
De acordo com a informação divulgada pelo atacante e citada por meios especializados, os dados alegadamente expostos incluem nomes, números de telefone, endereços de correio eletrónico, identificadores de encomendas e registos temporais de levantamentos. O mesmo anúncio refere ainda especificações e configurações internas dos cacifos, endereços IP privados, identificadores de equipamentos e versões de software de backend.
Os CTT, porém, enquadram a exposição como limitada. Em resposta enviada ao TEK e citada por outros órgãos, a empresa afirma que a informação em causa corresponde "exclusivamente a dados de contacto para notificação de entregas" e que não inclui moradas completas, palavras-passe ou dados financeiros.
Acrescentam que o Centro Nacional de Cibersegurança foi notificado e que os clientes afetados serão contactados pelos canais oficiais, para esclarecimento e acompanhamento. A Renascença refere que os CTT circunscrevem o incidente à informação gravada nos cacifos Locky, usados como pontos de recolha de encomendas, e não ao universo total de clientes dos Correios.
A dimensão efetiva do incidente continua, contudo, dependente de apuramento técnico. A publicação original referia dados de mais de um milhão de clientes e informação associada a 1.890 cacifos da rede Locky em Portugal. A RTP noticiou igualmente que estaria em causa cerca de um milhão de dados, incluindo contactos, identificadores de encomendas e informação sobre depósitos e recolhas.
Mesmo sem exposição de palavras-passe ou dados financeiros, os dados de contacto e informação relacionada com encomendas podem ser usados em campanhas de phishing ou smishing mais credíveis. Mensagens fraudulentas que imitem comunicações dos CTT, façam referência a encomendas, levantamentos, códigos ou pagamentos pendentes podem tornar-se mais difíceis de distinguir de notificações legítimas quando recorrem a dados reais.
Os utilizadores do serviço Locky devem, por isso, reforçar a atenção a SMS, emails ou chamadas relacionadas com entregas. A recomendação prudente é não clicar em ligações recebidas por canais inesperados, não introduzir dados pessoais ou bancários em páginas abertas a partir dessas mensagens e confirmar qualquer pedido através dos canais oficiais dos CTT.
O caso ocorre num contexto em que os cacifos Locky têm vindo a ganhar peso na operação logística dos CTT. No final de setembro de 2025, a empresa indicava ter 1.228 cacifos Locky instalados em Portugal e Espanha, com expansão em curso no mercado ibérico.
