Programa
espião do governo vazou e dados de brasileiros foram vendidos a bandidos
Amigo,
saiba que temos sistema para consultar todas suas informações. Fique ligado. Já
sabemos quem você é…”. A mensagem ameaçadora chegou por meio de um contato
desconhecido pelo Telegram no final do primeiro semestre deste ano. “Vamos ver
quem se dá melhor seu p2 desgraçado… Entrou no jogo, agora não tem como sair
mais, hein?”
A ousadia
da intimidação no celular pessoal surpreendeu o delegado Erick Sallum, da 9ª
Delegacia de Polícia do Distrito Federal, na região do Lago Norte de Brasília.
Afinal, não é todo dia que um criminoso se sente à vontade para ameaçar
diretamente o policial que o investiga. “Aguarde, safado”, prosseguiu o bandido
no Telegram.
Mais
grave: o meliante confirmava o que dizia com informações precisas sobre o carro
do delegado e outros detalhes pessoais de sua vida e rotina. A essa altura, com
um ano de inquérito policial, Sallum já tinha algum entendimento de como
funcionava a quadrilha que operava aquilo que ele já desconfiava ser o mais
grave vazamento de dados na história do Brasil, mas ia ficar ainda pior.
O caso
começou quando moradores do Lago Norte, região das mais abastadas de Brasília,
começaram a registrar dezenas de boletins de ocorrência na delegacia local com
características semelhantes. “Golpe do pix, do motoboy, da mão invisível, da
falsa central de segurança do banco, do falso sequestro e golpe da
portabilidade do consignado eram as ocorrências mais comuns”, diz o delegado.
Os golpistas, nas ligações telefônicas, tinham detalhes da vida privada e dados
pessoais das vítimas, o que tornava a enganação fidedigna e difícil de escapar.
Os
bandidos conseguiam obter e cruzar um volume gigantesco de dados sigilosos das
vítimas. A lista inclui CPFs, celular, endereços residenciais e comerciais,
e-mail, fotos, assinaturas digitalizadas, cópias da CNH com número de
segurança, carros, armas, empresas, boletins de ocorrência, mandados de prisão,
Banco Nacional de DNAs, empregador, salário e imposto de renda. Também
conseguiam filtrar pesquisas por CEP e faixa etária, pesquisa de vizinhos,
dados completos de parentes, score em instituições financeiras e muitas outras
informações separadas por idade, classe social, com histórico de vida e
nome completo. Tudo com uma agilidade e riqueza de detalhes difícil de se obter
até mesmo pelos órgãos públicos de segurança pública.
“Espantosamente,
os criminosos também tinham acesso às câmeras de OCR em todo o Brasil, o que
permite a leitura de placas dos veículos das vítimas e a localização das
últimas rotas em rodovias e cidades de todo o país”, me contou Sallum. “A
quadrilha tinha não apenas dados precisos das vítimas, mas sabiam também quais
os carros e por onde eles andavam, onde estavam naquele momento, com quem
tinham se encontrado. Uma precisão assustadora que logo chamou nossa atenção”.
A
investigação levou a polícia a uma quadrilha de extorsão e uma surpresa: os
criminosos, todos de baixo calão, tinham conseguido as informações usadas nos
golpes por meio de uma plataforma chamada “Painel Analytics”. “Através
dela foi possível constatar que simplesmente os dados sigilosos de cerca de 200
milhões de cidadãos brasileiros estavam expostos”, contou o
policial. Praticamente toda a população brasileira.
·
Bandidos compravam
dados via WhatsApp por até R$ 150
Entre os expostos, segundo o delegado, estavam políticos com e
sem mandato, influenciadores, artistas, celebridades, agentes de segurança
pública, empresários, pessoas politicamente expostas e até ministros do STF.
Todas essas informações se encontravam em um site com mecanismos de buscas para
rápidas pesquisas, em múltiplos módulos, acessíveis a qualquer leigo com alguns
cliques.
O acesso
ao site com os dados sigilosos das vítimas era vendido a qualquer um pelo
Telegram ou WhatsApp, em assinaturas de pacotes por sete, 15 ou 30 dias com
valores que variavam, respectivamente, entre R$ 150, R$ 200 e R$ 350.
Quando as
ameaças chegaram no Telegram do delegado, já estava tudo pronto para a Operação
Rock You, deflagrada no dia 20 de junho. Foram cumpridos mandados de prisão e
busca e apreensão no Distrito Federal e em Goiás, com derrubada de servidores
em colaboração com polícias no exterior, além de bloqueio de contas bancárias e
carteiras de criptomoedas.
Até agora
foram presos dois hackers, entre eles o autor das ameaças ao delegado. Eles são
acusados de divulgação de segredo, invasão de dispositivo informático,
organização criminosa e lavagem de dinheiro, e podem pegar penas de até 20 anos
de prisão.
Mas uma
dúvida fundamental persistia: como os hackers conseguiram fazer tudo isso? Foi
apenas com o resultado da perícia feita no material apreendido na operação pelo
Instituto de Criminalística, meses depois, que descobriu-se que a dupla tinha
simplesmente conseguido acesso em tempo real ao Córtex, o mega-programa espião
do Ministério da Justiça e Segurança Pública revelado pelo Intercept
Brasil em reportagem de setembro de 2020.
O Córtex
usa uma Inteligência Artificial robusta, mas com arquitetura simples e
desenvolvida pela área de TI do próprio Ministério da Justiça. Ela centraliza o
acesso em tempo real a mais de 26 mil câmeras de vigilância em vias públicas de
cidades e rodovias Brasil afora, incluindo as câmeras com leitura de placas de
veículos. O MJ não informou se hoje o sistema já conta com acesso às câmeras de
reconhecimento facial espalhadas em algumas cidades do país nos últimos anos.
Não apenas
isso. O Córtex reúne também, em um painel de fácil consulta e cruzamento. São
160 bases de dados sigilosas diferentes, públicas e privadas, incluindo a base
de CPFs e CNPJs da Receita Federal, a Relação Anual de Informações Sociais do
Ministério da Fazenda, dados do Sistema Nacional de Segurança Pública registros
de companhias aéreas e do banco nacional de perfis genéticos, dentre inúmeros
outros. Um banco de dados extremamente sensível e valioso, que poderia causar
um estrago se caísse em mãos erradas. E foi exatamente o que aconteceu.
·
Acesso foi feito com
falha primária de segurança
Ao todo, a perícia da polícia no DF constatou que 1.453 pessoas
compraram acesso ilegal ao site que espelhava o Córtex para os mais diversos
fins, como a quadrilha de golpistas que aterrorizava os ricos do Lago Norte em
Brasília. Em tese, todas são investigadas.
Em
resposta ao Intercept, o Ministério da Justiça confirmou que, após
o alerta feito pela Polícia Civil do DF, o setor de Contrainteligência da
Diretoria de Operações e Inteligência iniciou uma auditoria no sistema, ainda
em andamento. Até agora foram constatados 63 acessos não autorizados ao Córtex,
todos bloqueados. Cada acesso não autorizado, com login e senha, pode ter sido
utilizado por vários clientes do “Painel Analytics”. O MJ afirma que nem todos
os acessos irregulares estão relacionados a esse vazamento, mas não especifica
quantos estariam.
A façanha
foi possível porque os invasores utilizaram uma falha primária de segurança
naquele que deveria ser um sistema extremamente protegido: a ausência de
timeout nos logins de acesso. Ou seja, uma vez: conseguida uma credencial
válida e acessado o sistema, essa sessão não expirava e, assim, podia ser
espelhada para o site ilegal.
“Os
criminosos se aproveitaram de credenciais de usuários do Córtex para criar uma
espécie de ‘ponte’ onde o sistema criminoso poderia consultar o Córtex, se
passando por aquele usuário em específico”, explicou a nota do MJ. “O acesso ao
sistema é precedido de controles de autenticação e auditoria de uso, mas cada
usuário é responsável por suas credenciais, sendo de uso pessoal e
intransferível.”
Isso nos
leva a outra pergunta fundamental: como eles conseguiram essas credenciais de
acesso? De acordo com o MJ, a esperança é que a questão seja respondida pela
Polícia Federal, que abriu uma investigação sigilosa sobre o assunto.
Procurada, a PF informou que não vai comentar o caso até o inquérito ser
concluído.
Entre as
suspeitas investigadas pela PF e pela Polícia Civil do DF, que também segue com
investigações sob sigilo, estão desde “falha técnica” pura e simples à
participação de servidores públicos estaduais e federais no esquema. O Córtex
pode ter sido utilizado na perseguição de cônjuges, confecção de dossiês e
chantagem contra personalidades públicas e do mundo empresarial, e também pelo
crime organizado para o cometimento de assaltos, dentre outras linhas de
investigação.
·
TCU e MPF não viram
nenhuma vulnerabilidade no sistema
Após o Intercept revelar a existência do Córtex há
pouco mais de três anos, o sistema foi alvo de mais algumas reportagens e houve
uma reação forte da sociedade civil organizada. Conectas Direitos Humanos,
Associação Data Privacy Brasil de Pesquisa, Transparência Internacional e
Associação Artigo 19 entraram com uma representação no Ministério Público
Federal solicitando a regulamentação clara e precisa da utilização do Córtex
pelo poder público.
Após uma
apresentação feita por servidores do Ministério da Justiça e Segurança Pública,
em 29 de agosto do ano passado, ainda no governo Bolsonaro, os procuradores do
MPF deram-se por satisfeitos com as explicações, consideraram o sistema seguro
e encerraram o caso.
“Considerando
os benefícios do Sistema Córtex para a promoção da segurança pública,
considerando, ainda, a existência de mecanismos eficientes de controle da
utilização da plataforma, (…) não é possível vislumbrar a ocorrência de
irregularidades”, escreveu a procuradora Marina Selos Ferreira em sua promoção
de arquivamento da história, assinada um dia após a apresentação.
Antes,
ainda em 2022, o TCU já havia chegado a uma conclusão semelhante. “Os indícios
de irregularidades suscitados com base em matérias jornalísticas não se
confirmaram”, afirmou o acórdão do órgão em resposta a uma representação do
então líder do PT no Senado, Paulo Rocha, também com base na reportagem do Intercept,
entre outras matérias jornalísticas.
Cerca de
um ano e meio após a nossa reportagem, em janeiro do ano passado, a Revista Crusoé conseguiu via Lei de Acesso à Informação descobrir que naquele
momento o Córtex já era utilizado para monitorar 360 mil pessoas no país
ativamente. A Secretaria de Operações Integradas, a Seopi, braço de
inteligência do Ministério da Justiça e Segurança Pública responsável pela
operação do Córtex, já havia sido envolvida na produção de dossiês contra opositores do governo Bolsonaro no início de 2020.
A
Seopi foi criada no início da
gestão de Sergio Moro no Ministério da Justiça, para serviços de inteligência.
Suas atribuições são análogas a outros órgãos de inteligência como a Abin, a
Agência Brasileira de Inteligência; o GSI, Gabinete de Segurança Institucional;
e o Centro de Inteligência do Exército.
Naquele
momento não havia nenhuma lei, decreto, portaria ou qualquer norma oficial que
regulamentasse o uso do Córtex dentro da Seopi – desta forma, o uso se dava de
maneira praticamente clandestina. Isso só foi oficializado em setembro de 2021,
em portaria assinada pelo ex-ministro bolsonarista da Justiça, Anderson Torres.
A Seopi teve a estrutura mantida no governo Lula, com o ministro Flávio Dino.
Apesar da gravidade da falha de segurança, ainda não totalmente compreendida e
quem sabe sanada, o Ministério da Justiça mantém o Córtex em operação sem freio
de arrumação e não pensa em parar.
“Não foi
exatamente uma brecha de segurança do Córtex, mas sim um uso ilegítimo de
credenciais de usuários”, tentou explicar a assessoria de imprensa do MJ em
nota enviada ao Intercept. “Foi aplicada uma solução para diminuir a
possibilidade de roteamento entre aplicações distintas, diminuindo-se o tempo
de sessão do usuário após o login, o que inviabilizaria esta ponte feita entre
diferentes sistemas”, disse o órgão.
O MJ
também diz que “tem se esmerado para aprimorar a camada de segurança da
aplicação e já tomou medidas de recadastramento de usuários, pontos focais,
limitações de acessos, além de trabalhar em medidas que mitiguem ao máximo a
possibilidade de acessos indevidos ao Sistema Córtex.”
Para o
advogado especialista em direitos digitais Rafael Zanatta, diretor da
Associação Data Privacy Brasil de Pesquisa, as medidas anunciadas pelo
governo não parecem ser o suficiente dada a gravidade da situação. “Isso
é seríssimo. É necessária uma tutela de remoção do ilícito com a paralisação do
Córtex para uma auditoria completa”, afirmou.
A
situação, diz Zanatta, revela uma completa incapacidade técnica dos órgãos de
controle da atividade de segurança pública, como o MPF e as comissões
específicas no Congresso, além do próprio MJ, para de fato supervisionar o que
está sendo feito pelas forças de segurança e inteligência federais e
estaduais. “Nós avisamos o MPF formalmente dos problemas, reunimos
informações, entramos com uma representação, e mesmo assim não bastou para que
um controle efetivo fosse feito de maneira apropriada como fica revelado agora,
pelo jeito não tiveram condições técnicas de questionar e ver se era verdade as
respostas que receberam”, disse .
O advogado
diz que o caso é um flagrante desrespeito à Lei Geral de Proteção de Dados e de
responsabilidade integral do próprio Ministério da Justiça e Segurança Pública,
que não observou o dever de cuidado com informações tão sensíveis de toda a
população brasileira. “Cabe inclusive uma indenização moral pública por um dano
social tão amplo e tão grave”, defendeu o advogado.
Procurada,
a Autoridade Nacional de Proteção de Dados, responsável por analisar e punir
violações à LGPD, diz que foi avisada do problema pela polícia do DF e
abriu um processo de apuração do incidente. A ANPD afirma que notificou todos
os envolvidos e acompanha as investigações.
Fonte: The
Intercept
Nenhum comentário:
Postar um comentário