S\u00c3O PAULO, SP (FOLHAPRESS) – Conhecido como o hacker da “Vaza Jato”, o programador Walter Delgatti Neto explorou uma s\u00e9rie de brechas de ciberseguran\u00e7a do CNJ (Conselho Nacional de Justi\u00e7a) e um bug na plataforma GitHub para acessar o BNMP (Banco Nacional de Mandados de Pris\u00e3o). Foi a\u00ed que ele criou um mandado falso contra o ministro do STF (Supremo Tribunal Federal) Alexandre de Moraes.<\/p>\n
O depoimento de Delgatti de 2 de agosto sugere falhas prim\u00e1rias nos protocolos de ciberseguran\u00e7a do CNJ entre setembro de 2022 e janeiro deste ano, quando o investigado inseriu documentos falsificados no sistema.<\/p>\n
O programador cita senhas como “123mudar”, informa\u00e7\u00f5es de acesso repetidas e falta de autentica\u00e7\u00e3o em dois fatores. Qualquer pessoa deve evitar esses erros para proteger dados pessoais na internet.<\/p>\n
Em decis\u00e3o do STF, Moraes avalia que o relato de Delgatti apresenta conformidade com per\u00edcias e investiga\u00e7\u00f5es da Pol\u00edcia Federal.<\/p>\n
De acordo com Delgatti, ao menos um dos sistemas ficou dois anos sem atualiza\u00e7\u00e3o. Levantamento da empresa de ciberseguran\u00e7a Kaspersky mostra que 53,6% dos ciberataques contra empresas e organiza\u00e7\u00f5es tiveram in\u00edcio com a explora\u00e7\u00e3o de vulnerabilidades em programas expostos ou desatualizados.<\/p>\n
A partir dessas brechas, o hacker da “Vaza Jato” diz que acompanhou conversas de servidores t\u00e9cnicos do CNJ em um canal interno por tr\u00eas meses e acessou um rob\u00f4 com capacidades de editar os c\u00f3digos do conselho. Isso permitiu que Delgatti analisasse “linha por linha” os sistemas da Justi\u00e7a.<\/p>\n
Da\u00ed, ele conseguiu login e senha de um engenheiro de software do CNJ em um sistema de gest\u00e3o. As mesmas palavras-chave funcionaram na intranet do conselho, onde tamb\u00e9m n\u00e3o havia verifica\u00e7\u00e3o em dois fatores.<\/p>\n
Isso deu a Delgatti acesso a todas as senhas de bancos de dados \u2013parte das palavras-chave estavam sem criptografia.<\/p>\n
O invasor, ent\u00e3o, conseguiu acesso \u00e0 conta do consultor de TI Elenilson Pedro Chiarapa no Sistema de Controle de Acesso, que credencia permiss\u00f5es a outros sistemas. Chiarapa trabalha no Pnud (Programa das Na\u00e7\u00f5es Unidas para o Desenvolvimento), que mant\u00e9m acordos de coopera\u00e7\u00e3o t\u00e9cnica com o CNJ para desenvolver e atualizar sistemas digitais, como o BNMP.<\/p>\n
Delgatti, por fim, criou, sob o nome de um laranja, uma conta falsa com permiss\u00e3o de magistrado no BNMP e no Sisbajud \u2013que faz envio de ordens judiciais.<\/p>\n
O CNJ encontrou o mandado de pris\u00e3o contra Moraes e outros 11 alvar\u00e1s de soltura em favor de militantes bolsonaristas em 4 de janeiro. “Os servidores confiavam demais que o sistema n\u00e3o seria invadido”, disse Delgatti, em depoimento.<\/p>\n
Esses erros apontam desconformidade com a Estrat\u00e9gia Nacional de Seguran\u00e7a Cibern\u00e9tica do Poder Judici\u00e1rio, institu\u00edda pelo pr\u00f3prio CNJ em 2021. O estatuto determina avalia\u00e7\u00f5es e testes ao menos semestrais e formula\u00e7\u00e3o e execu\u00e7\u00e3o de protocolos de seguran\u00e7a em cada \u00f3rg\u00e3o do Judici\u00e1rio.<\/p>\n
Ap\u00f3s o epis\u00f3dio, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padr\u00e3o de seguran\u00e7a.<\/p>\n
Em nota enviada \u00e0 Folha, o CNJ diz que implementou todas as medidas necess\u00e1rias para fortalecimento de seu ambiente cibern\u00e9tico. Por exemplo, revisou a pol\u00edtica de senhas e expandiu a autentica\u00e7\u00e3o em dois fatores, dentre outras medidas.<\/p>\n
ATAQUE TEVE IN\u00cdCIO POR DESCUIDO NO GITHUB<\/span><\/p>\n A invas\u00e3o de Delgatti come\u00e7ou no reposit\u00f3rio do CNJ no GitHub -plataforma que hospeda trechos de c\u00f3digo de computa\u00e7\u00e3o, para permitir desenvolvimento coletivo de software. L\u00e1, ele encontrou arquivos chamados de “secrets” que continham chaves e tokens de acesso aos sistemas do CNJ.<\/p>\n O conselho hospeda seus c\u00f3digos no GitHub e na plataforma concorrente GitLab como pol\u00edtica de transpar\u00eancia.<\/p>\n O hacker da “Vaza Jato” buscou as informa\u00e7\u00f5es que encontrou no dom\u00ednio “jus.br” at\u00e9 encontrar um meio de acesso ao reposit\u00f3rio de projetos do CNJ no GitLab, que requer usu\u00e1rio e senha. Foi l\u00e1 que ele conseguiu acesso ao rob\u00f4 editor de c\u00f3digos de programa\u00e7\u00e3o. Pesquisa da empresa de ciberseguran\u00e7a GitGuardian encontrou cerca de 10 milh\u00f5es de arquivos sens\u00edveis expostos no GitHub. Os respons\u00e1veis pelo estudo dizem que essa exposi\u00e7\u00e3o acidental ocorre, na maior parte das vezes, por descuido do desenvolvedor.<\/p>\n Proteger informa\u00e7\u00f5es sens\u00edveis no escopo do programa demanda esfor\u00e7o e tempo h\u00e1bil. Al\u00e9m disso, pode ocorrer falhas na hora de subir o c\u00f3digo no GitHub, por confus\u00e3o do operador, o que exp\u00f5e involuntariamente vulnerabilidades<\/p>\n Procurado, o GitHub afirmou que n\u00e3o comenta o assunto.<\/p>\n Delgatti disse no depoimento que invadiu o sistema para expor as fragilidades do ambiente virtual da Justi\u00e7a. Dados de transa\u00e7\u00f5es financeiras entregues \u00e0 Pol\u00edcia Federal por ele mostram, por\u00e9m, que pessoas pr\u00f3ximas \u00e0 deputada Carla Zambelli (PL-SP) repassaram R$ 13,5 mil ao hacker.<\/p>\n Zambelli \u00e9 investigada por ter solicitado a invas\u00e3o ao cibercriminoso.<\/p>\n
Os arquivos de seguran\u00e7a expostos deixaram de estar acess\u00edveis h\u00e1 um m\u00eas, de acordo com Delgatti.<\/p>\n