Brasil vira alvo de ataques hackers em série durante mês decisivo
Uma série de ataques hackers foram registrados no Brasil no mês de novembro, em que definiu, em meio à pandemia, o resultado das Eleições Municipais 2020. Neste sábado (28), foi preso em Portugal o suspeito de invadir o site do TSE (Tribunal Superior Eleitoral) no dia da votação do primeiro turno, 15 de novembro.
Ministro Luís Roberto Barroso, presidente do TSE, que sofreu tentativa de ataque
Antonio Augusto/Ascom/TSE – 15.11.2020
Leia também: Saiba como evitar que suas redes sociais sejam invadidas por hackers
Na sexta-feira (27), um outro ataque hacker atingiu os sistemas do TRF-1 (Tribunal Regional da Primeira Região). Os invasores dizem ter obtido acesso a arquivos em mais de 40 bases de dados do tribunal. O tribunal, que abrange casos de 13 Estados e do Distrito Federal, é o que abriga mais processos no País.
Veja também: Alvo de ataque hacker, STJ gastou R$ 13,7 milhões com empresa de informática investigada
Só na primeira semana do mês, foram quase 80 invasões digitais a órgãos públicos em Brasília, de acordo com informações da Associação Nacional dos Analistas em Tecnologia da Informação. Os técnicos apontam falta de pessoal e de investimentos para evitar os ataques.
Nem o Exército conseguiu barrar todas as investidas. Em maio, hackers divulgaram exames médicos feitos pelo presidente Jair Bolsonaro entre junho de 2019 e janeiro deste ano no Hospital das Forças Armadas.
No início do mês, o alvo foram os sistemas do STJ (Superior Tribunal de Justiça). O ataque ocorreu na tarde do dia 3 e provocou a interrupção de diversos julgamentos que ocorriam simultaneamente, por videoconferência, nas seis turmas do STJ.
Todos os prazos processuais tiveram de ser suspensos temporariamente. Funcinários foram orientados a não ligarem seus computadores. Os criminosos criptografaram arquivos e pediram pagamento em criptomoedas para devolvê-los.
Saúde
O Ministério da Saúde também entrou na mira dos ataques. No dia 5, servidores foram orientados a nem sequer acessar o sistema da pasta por meio de seus computadores pessoais, em casa. Técnicos do DataSUS pediram que os servidores desligassem os computadores e excluírem contas do Ministériomini da Saúde vinculadas a aplicativos de celulares.
Leia também: Ataques de hackers são registrados no STJ, ministério da Saúde e governo do DF
Houve um vazamento de senhas do sistema que expôs por cerca de um mês dados pessoais e médicos de ao menos 16 milhões de brasileiros com diagnóstico suspeito ou confirmado de covid-19.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, estão o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria (PSDB), e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).
A publicidade da contagem dos casos de covid-19 ficou provisoriamente prejudicada. Logo depois veio a ação contra a Justiça Eleitoral.
Investigadores envolvidos nas apurações dos ataques ao Judiciário admitem a “onda de invasões” e atribuem o fenômeno a uma tentativa de “testar as instituições”. Observam, porém, que apenas bases de dados antigas e com pouca relevância foram acessadas, fazendo com que núcleos centrais de informação continuem intactos.
Na prática, grupos hackers costumam alardear invasões para se mostrar importantes. Muitos querem ser chamados para esse tipo de crime, obtendo para tanto benefícios financeiros.
Distrito Federal
Na lista entrou, também no dia 5, o governo do Distrito Federal. O goveno retirou parte de seus sistemas online do ar após identificar a tentativa de ataque. Ficou interrompida a emissão de notas fiscais eletrônicas e de boletos para pagamentos de impostos.
A onda de ataques cibernéticos a instituições está confirmada em números. De janeiro até o último dia 11, o núcleo do GSI que monitora questões referentes à cibersegurança registrou 21.963 notificações desse tipo no País, do governo e de fora do governo. Em todo o ano passado, foram 23.674 registros.
Mesmo com a manutenção do ritmo de notificações ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao GSI – gabinete comandado pelo general Augusto Heleno -, o alerta crítico está no crescimento das vulnerabilidades encontradas em sistemas tecnológicos. De um ano a outro, as brechas que permitem a exploração maliciosa nos sistemas e nas redes de computadores saltaram de 1.201 para 2.239.
Legislação
As invasões também são desafio para grandes corporações. Para especialistas, no entanto, as vulnerabilidades dos órgãos públicos são explicadas por certo grau de desleixo com sistemas de segurança, lentidão para fazer frente às ameaças e, ainda, por uma legislação passível de avanços.
“Precisamos de uma lei com a política nacional de segurança cibernética. Este projeto está em elaboração e essa nova lei, considerada absolutamente necessária, tem por objetivo, entre outras coisas, atribuir responsabilidades a quem violar a segurança cibernética”, afirmou o diretor do Departamento de Segurança da Informação do GSI, general Antonio Carlos de Oliveira Freitas.
Na avaliação da SaferNet Brasil, que colabora com o Ministério Público Federal no monitoramento da desinformação nestas eleições, órgãos públicos costumam falhar no que é elementar: segurança digital. “Geralmente se falha no básico, com falhas de configuração nos servidores, políticas de atualização inexistentes, autenticações falhas e bugs (defeitos) de softwares”, disse o presidente da entidade, Thiago Tavares.
Após a invasão ao STJ, o presidente do Supremo Tribunal Federal, Luiz Fux, determinou a criação de um “comitê cibernético” para preparar medidas de proteção à Justiça. Uma das críticas de especialistas é o fato de o Judiciário não ter um centro permanente, nesse modelo, para monitorar e reagir a incidentes.
“Estamos todos preocupados. Me parece mais um vandalismo, mas, e se fosse algo mais profissional, para apagar ou inserir dados? Ficamos sem saber qual o grau de vulnerabilidade que o sistema apresenta”, afirmou o advogado Marcelo Bessa, integrante do Instituto de Garantias Penais (IGP).
*Com informações da Agência Estado