Ataque hacker ao TSE não violou segurança do sistema das eleições

São enganosas as alegações de que um suposto ataque hacker tenha violado a segurança do sistema do TSE (Tribunal Superior Eleitoral) e ameaçado a votação das eleições municipais. De acordo com o ministro Luís Roberto Barroso, atual presidente da corte, os dados divulgados são de vazamentos antigos e não apresentam relação com os sistemas de totalização dos votos e das urnas eletrônicas, que não funcionam conectados à internet.

Em verificação feita pelo Aos Fatos em parceria com o Comprova, especialistas afirmam que, por conta das características, os dados teriam sido extraídos da base de dados do setor de recursos humanos do TSE. Outros indícios também apontam que as informações são antigas: os e-mails divulgados possuem o final “gov.br”, que não é mais utilizado pelo tribunal, por exemplo.

Na manhã deste domingo (15), o grupo hacker Cyber Team publicou dados supostamente extraídos do TSE em suas redes sociais, mas não apontaram que as informações seriam indícios de que o sistema eleitoral teria sido violado.

Pouco tempo depois, a notícia do vazamento passou a ser divulgada por bolsonaristas no Twitter e no Facebook, como se provasse eventual fraude eleitoral. Nesta última rede social, publicações com essa desinformação acumulavam mais de 14 mil compartilhamentos até a tarde de hoje e foram marcadas com o selo DISTORCIDO na ferramenta de verificação do Facebook (saiba como funciona).

Uma publicação feita pelo grupo hacker Cyber Team vem sendo compartilhada nas redes sociais para gerar desinformação eleitoral. O perfil publicou uma base de dados com nomes e folhas de pagamentos de servidores do TSE (Tribunal Superior Eleitoral) que teria sido extraída do sistema do tribunal neste domingo (15). Mesmo que o grupo não tenha citado a existência de fraude ou que os dados colocariam a eleição em risco, a notícia do vazamento vem sendo compartilhada nas redes com essas alegações, que são enganosas.

Em coletiva de imprensa, o ministro Luís Roberto Barroso disse que o TSE ainda está apurando o que aconteceu, mas afirmou que “nada ocorreu hoje, nem tampouco nos últimos dias relativamente a ataques” e que teria “muitas razões para supor que estas informações vazadas se refiram a ataques antigos”. Um desses indícios é que os e-mails que aparecem no material divulgado têm o final “.gov”, embora há bastante tempo o TSE use a extensão “.tse.br”. Outro é que os servidores que tiveram os seus nomes listados são antigos funcionários da Justiça Eleitoral.

“As urnas já estão todas devidamente carregadas, e estão todas elas fora de rede. Portanto, eventuais ataques cibernéticos não têm o condão de afetar o processo de votação, porque as urnas não funcionam em rede”, lembrou ainda o ministro, atual presidente da corte. Sobre a instabilidade no sistema, ele disse que ocorreu porque houve "grande quantidade de acessos relativamente a duas situações: informação sobre local de votação (...) e a justificativa de quem esteja fora do seu estado, do seu local de votação”.

A posição do ministro é reforçada por especialistas consultados pela reportagem. Segundo o professor Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE, o vazamento deve ter ocorrido dias antes da eleição porque, na véspera da votação, a rede do tribunal é isolada em um esquema especial para as eleições.

“São dados pessoais de saúde, de idade das pessoas. Pelas características dos dados, fica claro que não tem nada a ver com o sistema de votação eletrônico, que é totalmente diferente. É como se aqui na Unicamp você conseguisse acesso aos dados de recursos humanos. Mas a nossa base de dados de pesquisa está salva em outro lugar”, afirma.

Ainda de acordo com Geus, não é possível alterar o resultado da eleição porque a urna eletrônica é autônoma e funciona desconectada da Internet. Quando a votação termina, o flash da urna, uma espécie de cartão de memória, é levado para um sistema que envia esses dados para o TSE usando criptografia.

“Se alguém tentar inserir dados de votação falsos, eles não serão aceitos por causa da criptografia”, diz. Além disso, Geus lembra que todos os boletins de urna são disponibilizados publicamente na Internet. Por isso, qualquer candidato ou partido que suspeitar de problemas no resultado pode conferir por conta própria se a totalização foi feita corretamente.

Márcio Correia, analista de sistemas da UFC (Universidade Federal do Ceará) e professor de tecnologia de informação da Faculdade Cearense (FaC), analisou os arquivos das postagens a pedido do Aos Fatos e do Comprova e disse se tratar de arquivos que não são relacionados à votação.

“Os TREs e TSE têm, nos sites deles, espaços para veicular informações sobre processos administrativos internos, como salários de servidores, dados que estão à disposição no que eles chamam de 'portal da transparência'. O que eu vi nestas postagens foram essas informações, ou seja, nada relacionado à votação”, afirma. “O sistema de apuração dos votos é offline, as urnas não estão ligadas à internet e nem o sistema de apuração, que é em uma rede privada”, completa.

“O hacker mostrar que teve acesso a esses arquivos administrativos e de configurações dos sites do TRE e TSE não significa nada e não tem força alguma para colocar em dúvida a segurança da votação, apesar de não ser interessante que tenha havido essa brecha de segurança no site do TSE, ainda que pequena”, explica o professor, que já foi convidado para testar a segurança do sistema.

A reportagem também enviou os arquivos para Thiago Tavares, presidente da SaferNet, associação que promove a defesa dos direitos humanos na internet. Como os dados disponibilizados nas publicações trazem informações como folhas de pagamentos, afastamentos e transferências de servidores, ele acredita que “a invasão se limitou a um servidor que hospedava informações do sistema de Recursos Humanos do tribunal, e não tem relação alguma com as urnas eletrônicas nem com a segurança do sistema usado na apuração e totalização dos votos”.

De acordo com Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript, os dados divulgados são de banco de dados dos sites da Justiça Eleitoral, que são diferentes daqueles onde são processados os resultados da votação. Segundo Kin, os hackers usaram uma técnica que permite ler o conteúdo de alguns bancos de dados mais vulneráveis, mas que não poderia ser usada para alterar o resultado da apuração de votos.

“O comando de escrita (utilizado no desenvolvimento do site) provavelmente não tenha sido permitido e sequer explorado, porque dispararia alguns alertas de segurança”, explica. Segundo Kin, a maioria dos dados vazados são informações pessoais de servidores e não de sistemas ou pessoas que apuram as eleições. “Os bancos de dados das eleições são outros, alheios aos dos sites. Dizer que uma coisa está relacionada à outra é especular sem provas. Os IPs expostos pertencem unicamente aos sites”, afirma.

Segurança das eleições. Segundo o TSE, a segurança do sistema eletrônico de votação é feita em camadas, ou seja, por meio de dispositivos de segurança de tipos e com finalidades diferentes, são criadas diversas barreiras que, em conjunto, não permitem que o sistema seja violado. Em resumo, qualquer ataque ao sistema causa um efeito dominó e a urna eletrônica trava, não sendo possível gerar resultados válidos.

Para afastar esses questionamentos sobre a segurança das urnas, o TSE promove um desafio desde 2009, ocasião na qual especialistas colocam a segurança de urnas eleitorais à prova para tentar invadir o sistema – seja na parte da votação, apuração, transmissão e recebimento de arquivos. É o que o TSE chama de TPS (Teste Público de Segurança), em que grupos de hackers “do bem” se reúnem para fazer ataques variados aos dispositivos. Eles acontecem, normalmente, no ano anterior às eleições. O último foi concluído em 29 de novembro de 2019, e contou com a participação de 25 especialistas, entre professores, estudantes e peritos (veja aqui o relatório técnico).

No documento Sistema Eletrônico de Votação: perguntas mais frequentes, publicado no site do TSE, o órgão responde questões sobre o processo eleitoral e dúvidas em relação à segurança da votação. Na resposta da primeira pergunta, “Como o eleitor pode ter certeza de que a urna eletrônica é segura?”, o documento explica que “há diversos mecanismos de auditoria e de verificação dos resultados que podem ser efetuados pelos candidatos, pelas coligações, pelo Ministério Público”, entre outras entidades.

Ainda de acordo com o tribunal, as urnas eletrônicas começaram a ser utilizadas no Brasil em 1996 e, “em 24 anos de existência, nunca foi comprovada nenhuma fraude no equipamento”.

Para as eleições de 2020, o TSE preparou a série “Desvendando a Urna”, com reportagens sobre o assunto. Uma delas é sobre o tema abordado no post verificado aqui e traz a pergunta “É verdade que a urna eletrônica não é auditável?”. O texto, então, explica que o equipamento possui “diversos recursos que possibilitam e fortalecem a possibilidade de auditagem”. Entre os recursos, estão auditorias pré e pós-eleição e lacração dos sistemas. “Além disso, os sistemas podem ser requisitados para análise e verificação, não somente no período de seis meses que antecedem o pleito, mas a qualquer tempo e pelo prazo necessário para se proceder a uma auditoria completa”, finaliza a reportagem.

O grupo de hackers. O CyberTeam é um grupo de hackers com base em Portugal, de acordo com o site Tecmundo e segundo confirmou o perfil de mesmo nome no Facebook, por meio de mensagens privadas. Também conforme publicado pelo Tecmundo, os hackers invadiram o site oficial do então deputado federal Beto Mansur (PRB-SP) em 2017 e, anteriormente, já haviam derrubado o Skype por algumas horas.

O link verificado aqui lista ataques recentes do grupo contra o Conselho Nacional de Justiça, o Tribunal de Justiça do Estado do Pará, entre outros órgãos brasileiros, e ressalta que nem o CyberTeam nem seus aliados foram responsáveis pelo ataque ao STJ (Superior Tribunal de Justiça). De acordo com o site, neste caso do suposto ataque ao TSE, o CyberTeam agiu em parceria com o perfil Noias do Amazonas – que o Aos Fatos e o Comprova tentaram contatar via Twitter, mas não receberam resposta até a publicação deste checagem.

A pessoa do CyberTeam que trocou mensagens com a reportagem se apresentou com o apelido Zambrius e confirmou ser o jovem que foi detido em Portugal em abril deste ano por crimes ligados à cibersegurança.

Questionado sobre as afirmações de Barroso, que disse que "esse vazamento não é produto de um ataque atual", que é "um ataque antigo que nós ainda não fomos capazes de precisar, se foi antigo de dez dias ou antigo de cinco anos", Zambrius confirmou que "o ataque é de hoje".

Quando confrontado com a avaliação de especialistas ouvidos pela reportagem, segundo a qual o vazamento não tem ligação com dados ligados à eleição, Zambrius respondeu: "Eu não explorei por completo o TSE e só me foquei em reunir os dados de utilizador".

Referências:

1. TSE (Fontes 1, 2, 3 e 4)
2. Tecmundo (Fontes 1 e 2)
3. Folha de S.Paulo