O programador Walter Delgatti Neto, conhecido como o hacker da “Vaza Jato”, conseguiu emitir um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes. Para essa proeza, ele explorou um bug no GitHub para acessar o Banco Nacional de Mandados de Prisão (BNMP) e diversas brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).

Para quem tem pressa:

Pelo menos, é o que o hacker contou, num depoimento em 2 de agosto, de acordo com uma reportagem do jornal Folha de S. Paulo, publicada nesta terça-feira (15).

O ministro Alexandre de Moraes avaliou, em decisão do STF, que o relato de Delgatti encaixa com perícias e investigações realizadas pela Polícia Federal.

Os servidores confiavam demais que o sistema não seria invadido.

Trecho de depoimento de Walter Delgatti Neto, programador conhecido como o hacker da “Vaza Jato”

O programador inseriu documentos falsos no sistema entre setembro de 2022 e janeiro de 2023. Além do mandado de prisão contra Moraes, o CNJ encontrou 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro, todos emitidos pelo programador.

Passo a passo do hacker

Logomarca do assistente IA de programação da Amazon com códigos de programação ao fundo
(Imagem: Pedro Spadoni/Olhar Digital)

O programador começou sua invasão pelo repositório do CNJ no GitHub. Essa plataforma hospeda trechos de código de computação para viabilizar o desenvolvimento coletivo de software.

Nessa plataforma, o hacker encontrou arquivos nomeados como “secrets”. Eles continham chaves e tokens de acesso aos sistemas do CNJ.

Além do GitHub, o CNJ hospeda seus códigos no GitLab, plataforma concorrente, para atender sua política de transparência.

Por isso, Neto buscou um meio de acesso ao repositório de projetos do CNJ no GitLab, que requer usuário e senha. Foi lá que ele conseguiu acesso ao robô editor de códigos de programação. Por meio dele, o hacker analisou os sistemas da Justiça “linha por linha”.

Letreiro do Conselho Nacional de Justiça, o CNJ
(Imagem: Gil Ferreira/Agência CNJ)

Neto disse que ao menos um dos sistemas do CNJ ficou dois anos sem atualização. Graças a essas brechas, o hacker acompanhou conversas de servidores técnicos num canal interno por três meses.

Em seguida, ele conseguiu login e senha de um engenheiro de software do CNJ. As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.

Essa, digamos, manobra deu a Delgatti acesso a todas as senhas de bancos de dados. O próximo passo foi conseguir acesso à conta do consultor de TI Elenilson Pedro Chiarapa no Sistema de Controle de Acesso, que credencia permissões a outros sistemas.

Por fim, Delgatti criou uma conta falsa com permissão de magistrado no BNMP e no Sisbajud, sistema que envia as ordens judiciais.

Brechas nos sistemas

Em 2021, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário. No entanto, os erros apontados pelo hacker em seu depoimento apontam desconformidade com essa estratégia.

Após o “ataque” do hacker, o CNJ revogou senhas de acesso a todos os sistemas e instituiu um novo padrão de segurança.

Em nota enviada ao jornal, o CNJ informou que implementou todas as medidas necessárias para fortalecimento de seu ambiente cibernético. Já o GitHub se negou a comentar sobre o caso.