“Amigo, saiba que temos sistema para consultar todas suas informações. Fique ligado. Já sabemos quem você é…”. A mensagem ameaçadora chegou por meio de um contato desconhecido pelo Telegram no final do primeiro semestre deste ano. “Vamos ver quem se dá melhor seu p2 desgraçado… Entrou no jogo, agora não tem como sair mais, hein?”
A ousadia da intimidação no celular pessoal surpreendeu o delegado Erick Sallum, da 9ª Delegacia de Polícia do Distrito Federal, na região do Lago Norte de Brasília. Afinal, não é todo dia que um criminoso se sente à vontade para ameaçar diretamente o policial que o investiga. “Aguarde, safado”, prosseguiu o bandido no Telegram.
Mais grave: o meliante confirmava o que dizia com informações precisas sobre o carro do delegado e outros detalhes pessoais de sua vida e rotina. A essa altura, com um ano de inquérito policial, Sallum já tinha algum entendimento de como funcionava a quadrilha que operava aquilo que ele já desconfiava ser o mais grave vazamento de dados na história do Brasil, mas ia ficar ainda pior.
O caso começou quando moradores do Lago Norte, região das mais abastadas de Brasília, começaram a registrar dezenas de boletins de ocorrência na delegacia local com características semelhantes. “Golpe do pix, do motoboy, da mão invisível, da falsa central de segurança do banco, do falso sequestro e golpe da portabilidade do consignado eram as ocorrências mais comuns”, diz o delegado. Os golpistas, nas ligações telefônicas, tinham detalhes da vida privada e dados pessoais das vítimas, o que tornava a enganação fidedigna e difícil de escapar.
Os bandidos conseguiam obter e cruzar um volume gigantesco de dados sigilosos das vítimas. A lista inclui CPFs, celular, endereços residenciais e comerciais, e-mail, fotos, assinaturas digitalizadas, cópias da CNH com número de segurança, carros, armas, empresas, boletins de ocorrência, mandados de prisão, Banco Nacional de DNAs, empregador, salário e imposto de renda. Também conseguiam filtrar pesquisas por CEP e faixa etária, pesquisa de vizinhos, dados completos de parentes, score em instituições financeiras e muitas outras informações separadas por idade, classe social, com histórico de vida e nome completo. Tudo com uma agilidade e riqueza de detalhes difícil de se obter até mesmo pelos órgãos públicos de segurança pública.
“Espantosamente, os criminosos também tinham acesso às câmeras de OCR em todo o Brasil, o que permite a leitura de placas dos veículos das vítimas e a localização das últimas rotas em rodovias e cidades de todo o país”, me contou Sallum. “A quadrilha tinha não apenas dados precisos das vítimas, mas sabiam também quais os carros e por onde eles andavam, onde estavam naquele momento, com quem tinham se encontrado. Uma precisão assustadora que logo chamou nossa atenção”.
A investigação levou a polícia a uma quadrilha de extorsão e uma surpresa: os criminosos, todos de baixo calão, tinham conseguido as informações usadas nos golpes por meio de uma plataforma chamada “Painel Analytics”. “Através dela foi possível constatar que simplesmente os dados sigilosos de cerca de 200 milhões de cidadãos brasileiros estavam expostos”, contou o policial. Praticamente toda a população brasileira.
Bandidos compravam dados via WhatsApp por até R$ 150
Entre os expostos, segundo o delegado, estavam políticos com e sem mandato, influenciadores, artistas, celebridades, agentes de segurança pública, empresários, pessoas politicamente expostas e até ministros do STF. Todas essas informações se encontravam em um site com mecanismos de buscas para rápidas pesquisas, em múltiplos módulos, acessíveis a qualquer leigo com alguns cliques.
O acesso ao site com os dados sigilosos das vítimas era vendido a qualquer um pelo Telegram ou WhatsApp, em assinaturas de pacotes por sete, 15 ou 30 dias com valores que variavam, respectivamente, entre R$ 150, R$ 200 e R$ 350.
Quando as ameaças chegaram no Telegram do delegado, já estava tudo pronto para a Operação Rock You, deflagrada no dia 20 de junho. Foram cumpridos mandados de prisão e busca e apreensão no Distrito Federal e em Goiás, com derrubada de servidores em colaboração com polícias no exterior, além de bloqueio de contas bancárias e carteiras de criptomoedas.
Até agora foram presos dois hackers, entre eles o autor das ameaças ao delegado. Eles são acusados de divulgação de segredo, invasão de dispositivo informático, organização criminosa e lavagem de dinheiro, e podem pegar penas de até 20 anos de prisão.
Mas uma dúvida fundamental persistia: como os hackers conseguiram fazer tudo isso? Foi apenas com o resultado da perícia feita no material apreendido na operação pelo Instituto de Criminalística, meses depois, que descobriu-se que a dupla tinha simplesmente conseguido acesso em tempo real ao Córtex, o mega-programa espião do Ministério da Justiça e Segurança Pública revelado pelo Intercept Brasil em reportagem de setembro de 2020.
O Córtex usa uma Inteligência Artificial robusta, mas com arquitetura simples e desenvolvida pela área de TI do próprio Ministério da Justiça. Ela centraliza o acesso em tempo real a mais de 26 mil câmeras de vigilância em vias públicas de cidades e rodovias Brasil afora, incluindo as câmeras com leitura de placas de veículos. O MJ não informou se hoje o sistema já conta com acesso às câmeras de reconhecimento facial espalhadas em algumas cidades do país nos últimos anos.
Não apenas isso. O Córtex reúne também, em um painel de fácil consulta e cruzamento. São 160 bases de dados sigilosas diferentes, públicas e privadas, incluindo a base de CPFs e CNPJs da Receita Federal, a Relação Anual de Informações Sociais do Ministério da Fazenda, dados do Sistema Nacional de Segurança Pública registros de companhias aéreas e do banco nacional de perfis genéticos, dentre inúmeros outros. Um banco de dados extremamente sensível e valioso, que poderia causar um estrago se caísse em mãos erradas. E foi exatamente o que aconteceu.
Acesso foi feito com falha primária de segurança
Ao todo, a perícia da polícia no DF constatou que 1.453 pessoas compraram acesso ilegal ao site que espelhava o Córtex para os mais diversos fins, como a quadrilha de golpistas que aterrorizava os ricos do Lago Norte em Brasília. Em tese, todas são investigadas.
Em resposta ao Intercept, o Ministério da Justiça confirmou que, após o alerta feito pela Polícia Civil do DF, o setor de Contrainteligência da Diretoria de Operações e Inteligência iniciou uma auditoria no sistema, ainda em andamento. Até agora foram constatados 63 acessos não autorizados ao Córtex, todos bloqueados. Cada acesso não autorizado, com login e senha, pode ter sido utilizado por vários clientes do “Painel Analytics”. O MJ afirma que nem todos os acessos irregulares estão relacionados a esse vazamento, mas não especifica quantos estariam.
A façanha foi possível porque os invasores utilizaram uma falha primária de segurança naquele que deveria ser um sistema extremamente protegido: a ausência de timeout nos logins de acesso. Ou seja, uma vez: conseguida uma credencial válida e acessado o sistema, essa sessão não expirava e, assim, podia ser espelhada para o site ilegal.
Córtex pode ter sido utilizado na perseguição de cônjuges, dossiês e chantagem – além do crime organizado.
“Os criminosos se aproveitaram de credenciais de usuários do Córtex para criar uma espécie de ‘ponte’ onde o sistema criminoso poderia consultar o Córtex, se passando por aquele usuário em específico”, explicou a nota do MJ. “O acesso ao sistema é precedido de controles de autenticação e auditoria de uso, mas cada usuário é responsável por suas credenciais, sendo de uso pessoal e intransferível.”
Isso nos leva a outra pergunta fundamental: como eles conseguiram essas credenciais de acesso? De acordo com o MJ, a esperança é que a questão seja respondida pela Polícia Federal, que abriu uma investigação sigilosa sobre o assunto. Procurada, a PF informou que não vai comentar o caso até o inquérito ser concluído.
Entre as suspeitas investigadas pela PF e pela Polícia Civil do DF, que também segue com investigações sob sigilo, estão desde “falha técnica” pura e simples à participação de servidores públicos estaduais e federais no esquema. O Córtex pode ter sido utilizado na perseguição de cônjuges, confecção de dossiês e chantagem contra personalidades públicas e do mundo empresarial, e também pelo crime organizado para o cometimento de assaltos, dentre outras linhas de investigação.
TCU e MPF não viram nenhuma vulnerabilidade no sistema
Após o Intercept revelar a existência do Córtex há pouco mais de três anos, o sistema foi alvo de mais algumas reportagens e houve uma reação forte da sociedade civil organizada. Conectas Direitos Humanos, Associação Data Privacy Brasil de Pesquisa, Transparência Internacional e Associação Artigo 19 entraram com uma representação no Ministério Público Federal solicitando a regulamentação clara e precisa da utilização do Córtex pelo poder público.
Após uma apresentação feita por servidores do Ministério da Justiça e Segurança Pública, em 29 de agosto do ano passado, ainda no governo Bolsonaro, os procuradores do MPF deram-se por satisfeitos com as explicações, consideraram o sistema seguro e encerraram o caso.
“Considerando os benefícios do Sistema Córtex para a promoção da segurança pública, considerando, ainda, a existência de mecanismos eficientes de controle da utilização da plataforma, (…) não é possível vislumbrar a ocorrência de irregularidades”, escreveu a procuradora Marina Selos Ferreira em sua promoção de arquivamento da história, assinada um dia após a apresentação.
Antes, ainda em 2022, o TCU já havia chegado a uma conclusão semelhante. “Os indícios de irregularidades suscitados com base em matérias jornalísticas não se confirmaram”, afirmou o acórdão do órgão em resposta a uma representação do então líder do PT no Senado, Paulo Rocha, também com base na reportagem do Intercept, entre outras matérias jornalísticas.
Cerca de um ano e meio após a nossa reportagem, em janeiro do ano passado, a Revista Crusoé conseguiu via Lei de Acesso à Informação descobrir que naquele momento o Córtex já era utilizado para monitorar 360 mil pessoas no país ativamente. A Secretaria de Operações Integradas, a Seopi, braço de inteligência do Ministério da Justiça e Segurança Pública responsável pela operação do Córtex, já havia sido envolvida na produção de dossiês contra opositores do governo Bolsonaro no início de 2020.
A Seopi foi criada no início da gestão de Sergio Moro no Ministério da Justiça, para serviços de inteligência. Suas atribuições são análogas a outros órgãos de inteligência como a Abin, a Agência Brasileira de Inteligência; o GSI, Gabinete de Segurança Institucional; e o Centro de Inteligência do Exército.
Naquele momento não havia nenhuma lei, decreto, portaria ou qualquer norma oficial que regulamentasse o uso do Córtex dentro da Seopi – desta forma, o uso se dava de maneira praticamente clandestina. Isso só foi oficializado em setembro de 2021, em portaria assinada pelo ex-ministro bolsonarista da Justiça, Anderson Torres. A Seopi teve a estrutura mantida no governo Lula, com o ministro Flávio Dino.
Apesar da gravidade da falha de segurança, ainda não totalmente compreendida e quem sabe sanada, o Ministério da Justiça mantém o Córtex em operação sem freio de arrumação e não pensa em parar.
“Não foi exatamente uma brecha de segurança do Córtex, mas sim um uso ilegítimo de credenciais de usuários”, tentou explicar a assessoria de imprensa do MJ em nota enviada ao Intercept. “Foi aplicada uma solução para diminuir a possibilidade de roteamento entre aplicações distintas, diminuindo-se o tempo de sessão do usuário após o login, o que inviabilizaria esta ponte feita entre diferentes sistemas”, disse o órgão.
O MJ também diz que “tem se esmerado para aprimorar a camada de segurança da aplicação e já tomou medidas de recadastramento de usuários, pontos focais, limitações de acessos, além de trabalhar em medidas que mitiguem ao máximo a possibilidade de acessos indevidos ao Sistema Córtex.”
Para o advogado especialista em direitos digitais Rafael Zanatta, diretor da Associação Data Privacy Brasil de Pesquisa, as medidas anunciadas pelo governo não parecem ser o suficiente dada a gravidade da situação. “Isso é seríssimo. É necessária uma tutela de remoção do ilícito com a paralisação do Córtex para uma auditoria completa”, afirmou.
A situação, diz Zanatta, revela uma completa incapacidade técnica dos órgãos de controle da atividade de segurança pública, como o MPF e as comissões específicas no Congresso, além do próprio MJ, para de fato supervisionar o que está sendo feito pelas forças de segurança e inteligência federais e estaduais. “Nós avisamos o MPF formalmente dos problemas, reunimos informações, entramos com uma representação, e mesmo assim não bastou para que um controle efetivo fosse feito de maneira apropriada como fica revelado agora, pelo jeito não tiveram condições técnicas de questionar e ver se era verdade as respostas que receberam”, disse .
O advogado diz que o caso é um flagrante desrespeito à Lei Geral de Proteção de Dados e de responsabilidade integral do próprio Ministério da Justiça e Segurança Pública, que não observou o dever de cuidado com informações tão sensíveis de toda a população brasileira. “Cabe inclusive uma indenização moral pública por um dano social tão amplo e tão grave”, defendeu o advogado.
Procurada, a Autoridade Nacional de Proteção de Dados, responsável por analisar e punir violações à LGPD, diz que foi avisada do problema pela polícia do DF e abriu um processo de apuração do incidente. A ANPD afirma que notificou todos os envolvidos e acompanha as investigações.
Você sabia que...
O Intercept é quase inteiramente movido por seus leitores?
E quase todo esse financiamento vem de doadores mensais?
Isso nos torna completamente diferentes de todas as outras redações que você conhece. O apoio de pessoas como você nos dá a independência de que precisamos para investigar qualquer pessoa, em qualquer lugar, sem medo e sem rabo preso.
E o resultado? Centenas de investigações importantes que mudam a sociedade e as leis e impedem que abusadores poderosos continuem impunes. Impacto que chama!
O Intercept é pequeno, mas poderoso. No entanto, o número de apoiadores mensais caiu 15% este ano e isso está ameaçando nossa capacidade de fazer o trabalho importante que você espera – como o que você acabou de ler.
Precisamos de 1.000 novos doadores mensais até o final do mês para manter nossa operação sustentável.
Podemos contar com você por R$ 20 por mês?