O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, conseguiu emitir um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes. Para essa proeza, ele explorou um bug no GitHub para acessar o Banco Nacional de Mandados de Prisão (BNMP) e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).
Para quem tem pressa:
- O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, detalhou, em depoimento, o passo a passo da sua invasão aos sistema da Justiça;
- O hacker emitiu um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes, além de 11 alvarás de soltura em favor de militantes bolsonaristas;
- No depoimento, Neto disse que explorou um bug no GitHub e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).
Pelo menos, é o que o hacker contou, num depoimento em 2 de agosto, de acordo com uma reportagem do jornal Folha de S. Paulo, publicada nesta terça-feira (15).
Leia mais:
- O que você pode aprender sobre segurança digital com a ‘Vaza Jato’?
- Verificação de Segurança: como parar de compartilhar dados no iPhone
- 5 dicas de segurança para evitar golpes no WhatsApp
O ministro Alexandre de Moraes avaliou, em decisão do STF, que o relato de Delgatti encaixa com perícias e investigações realizadas pela Polícia Federal.
Os servidores confiavam demais que o sistema não seria invadido.
Trecho de depoimento de Walter Delgatti Neto, programador conhecido como o hacker da “Vaza Jato”
O programador inseriu documentos falsos no sistema entre setembro de 2022 e janeiro de 2023. Além do mandado de prisão contra Moraes, o CNJ encontrou 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro, todos emitidos pelo programador.
Passo a passo do hacker
O programador começou sua invasão pelo repositório do CNJ no GitHub. Essa plataforma hospeda trechos de código de computação para viabilizar o desenvolvimento coletivo de software.
Nessa plataforma, o hacker encontrou arquivos nomeados como “secrets”. Eles continham chaves e tokens de acesso aos sistemas do CNJ.
Além do GitHub, o CNJ hospeda seus códigos no GitLab, plataforma concorrente, para atender sua política de transparência.
Por isso, Neto buscou um meio de acesso ao repositório de projetos do CNJ no GitLab, que requer usuário e senha. Foi lá que ele conseguiu acesso ao robô editor de códigos de programação. Por meio dele, o hacker analisou os sistemas da Justiça “linha por linha”.
Neto disse que ao menos um dos sistemas do CNJ ficou dois anos sem atualização. Graças a essas brechas, o hacker acompanhou conversas de servidores técnicos num canal interno por três meses.
Em seguida, ele conseguiu login e senha de um engenheiro de software do CNJ. As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.
Essa, digamos, manobra deu a Delgatti acesso a todas as senhas de bancos de dados. O próximo passo foi conseguir acesso à conta de um funcionário do Sistema de Controle de Acesso, que credencia permissões a outros sistemas.
Por fim, Delgatti criou uma conta falsa com permissão de magistrado no BNMP e no Sisbajud, sistema que envia as ordens judiciais.
Brechas nos sistemas
Em 2021, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário. No entanto, os erros apontados pelo hacker em seu depoimento apontam desconformidade com essa estratégia.
Após o “ataque” do hacker, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padrão de segurança.
Em nota enviada ao jornal, o CNJ informou que implementou todas as medidas necessárias para fortalecimento de seu ambiente cibernético. Já o GitHub se negou a comentar sobre o caso.
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: