Por Pedro S. Teixeira, da Folhapress
SÃO PAULO – Conhecido como o hacker da “Vaza Jato”, o programador Walter Delgatti Neto explorou uma série de brechas de cibersegurança do CNJ (Conselho Nacional de Justiça) e um bug na plataforma GitHub para acessar o BNMP (Banco Nacional de Mandados de Prisão). Foi aí que ele criou um mandado falso contra o ministro do STF (Supremo Tribunal Federal) Alexandre de Moraes.
O depoimento de Delgatti de 2 de agosto sugere falhas primárias nos protocolos de cibersegurança do CNJ entre setembro de 2022 e janeiro deste ano, quando o investigado inseriu documentos falsificados no sistema.
O programador cita senhas como “123mudar”, informações de acesso repetidas e falta de autenticação em dois fatores. Qualquer pessoa deve evitar esses erros para proteger dados pessoais na internet.
Em decisão do STF, Moraes avalia que o relato de Delgatti apresenta conformidade com perícias e investigações da Polícia Federal.
De acordo com Delgatti, ao menos um dos sistemas ficou dois anos sem atualização. Levantamento da empresa de cibersegurança Kaspersky mostra que 53,6% dos ciberataques contra empresas e organizações tiveram início com a exploração de vulnerabilidades em programas expostos ou desatualizados.
A partir dessas brechas, o hacker da “Vaza Jato” diz que acompanhou conversas de servidores técnicos do CNJ em um canal interno por três meses e acessou um robô com capacidades de editar os códigos do conselho. Isso permitiu que Delgatti analisasse “linha por linha” os sistemas da Justiça.
Daí, ele conseguiu login e senha de um engenheiro de software do CNJ em um sistema de gestão. As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.
Isso deu a Delgatti acesso a todas as senhas de bancos de dados –parte das palavras-chave estavam sem criptografia.
O invasor, então, conseguiu acesso à conta de um consultor de TI no Sistema de Controle de Acesso, que credencia permissões a outros sistemas. Esse profissional trabalha no Pnud (Programa das Nações Unidas para o Desenvolvimento), que mantém acordos de cooperação técnica com o CNJ para desenvolver e atualizar sistemas digitais, como o BNMP.
Delgatti, por fim, criou, sob o nome de um laranja, uma conta falsa com permissão de magistrado no BNMP e no Sisbajud –que faz envio de ordens judiciais.
O CNJ encontrou o mandado de prisão contra Moraes e outros 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro. “Os servidores confiavam demais que o sistema não seria invadido”, disse Delgatti, em depoimento.
Esses erros apontam desconformidade com a Estratégia Nacional de Segurança Cibernética do Poder Judiciário, instituída pelo próprio CNJ em 2021. O estatuto determina avaliações e testes ao menos semestrais e formulação e execução de protocolos de segurança em cada órgão do Judiciário.
Após o episódio, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padrão de segurança.
Em nota enviada à Folha, o CNJ diz que implementou todas as medidas necessárias para fortalecimento de seu ambiente cibernético. Por exemplo, revisou a política de senhas e expandiu a autenticação em dois fatores, dentre outras medidas.
Ataque teve início por descuido no GitHub
A invasão de Delgatti começou no repositório do CNJ no GitHub -plataforma que hospeda trechos de código de computação, para permitir desenvolvimento coletivo de software. Lá, ele encontrou arquivos chamados de “secrets” que continham chaves e tokens de acesso aos sistemas do CNJ.
O conselho hospeda seus códigos no GitHub e na plataforma concorrente GitLab como política de transparência.
O hacker da “Vaza Jato” buscou as informações que encontrou no domínio “jus.br” até encontrar um meio de acesso ao repositório de projetos do CNJ no GitLab, que requer usuário e senha. Foi lá que ele conseguiu acesso ao robô editor de códigos de programação.
Os arquivos de segurança expostos deixaram de estar acessíveis há um mês, de acordo com Delgatti.
Pesquisa da empresa de cibersegurança GitGuardian encontrou cerca de 10 milhões de arquivos sensíveis expostos no GitHub. Os responsáveis pelo estudo dizem que essa exposição acidental ocorre, na maior parte das vezes, por descuido do desenvolvedor.
Proteger informações sensíveis no escopo do programa demanda esforço e tempo hábil. Além disso, pode ocorrer falhas na hora de subir o código no GitHub, por confusão do operador, o que expõe involuntariamente vulnerabilidades
Procurado, o GitHub afirmou que não comenta o assunto.
Delgatti disse no depoimento que invadiu o sistema para expor as fragilidades do ambiente virtual da Justiça. Dados de transações financeiras entregues à Polícia Federal por ele mostram, porém, que pessoas próximas à deputada Carla Zambelli (PL-SP) repassaram R$ 13,5 mil ao hacker.
Zambelli é investigada por ter solicitado a invasão ao cibercriminoso.
