Saiba como o hacker da 'Vaza Jato' invadiu os sistemas da Justiça
16 de Agosto de 2023

O programador Walter Delgatti Neto, conhecido como o hacker da "Vaza Jato", conseguiu emitir um mandado de prisão falso contra o ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes.

Para esse feito, ele explorou um bug no GitHub para acessar o Banco Nacional de Mandados de Prisão (BNMP) e várias brechas de cibersegurança do Conselho Nacional de Justiça (CNJ).

O ministro Alexandre de Moraes considerou, em uma decisão do STF, que o relato de Delgatti se alinha com as perícias e investigações realizadas pela Polícia Federal.

Os servidores acreditavam demais que o sistema não seria invadido.

Parte do depoimento de Walter Delgatti Neto, programador conhecido como o hacker da "Vaza Jato" O programador inseriu documentos falsos no sistema entre setembro de 2022 e janeiro de 2023.

Além do mandado de prisão contra Moraes, o CNJ encontrou 11 alvarás de soltura em favor de militantes bolsonaristas em 4 de janeiro, todos emitidos pelo programador.

O programador começou sua invasão pelo repositório do CNJ no GitHub.

Essa plataforma hospeda trechos de código de computação para facilitar o desenvolvimento coletivo de software.

Nessa plataforma, o hacker encontrou arquivos nomeados como "secrets".

Eles continham chaves e tokens de acesso aos sistemas do CNJ.

Além do GitHub, o CNJ hospeda seus códigos no GitLab, uma plataforma concorrente, para cumprir sua política de transparência.

Por isso, Neto procurou um meio de acesso ao repositório de projetos do CNJ no GitLab, que requer usuário e senha.

Foi lá que ele conseguiu acesso ao robô editor de códigos de programação.

Através dele, o hacker analisou os sistemas da Justiça "linha por linha".

Neto disse que pelo menos um dos sistemas do CNJ ficou dois anos sem atualização.

Graças a essas brechas, o hacker acompanhou conversas de servidores técnicos em um canal interno por três meses.

Depois, ele conseguiu o login e senha de um engenheiro de software do CNJ.

As mesmas palavras-chave funcionaram na intranet do conselho, onde também não havia verificação em dois fatores.

Essa "manobra" deu a Delgatti acesso a todas as senhas dos bancos de dados.

O próximo passo foi o acesso à conta do consultor de TI Elenilson Pedro Chiarapa no Sistema de Controle de Acesso, que credencia permissões a outros sistemas.

Por fim, Delgatti criou uma conta falsa com permissão de magistrado no BNMP e no Sisbajud, sistema que envia as ordens judiciais.

Em 2021, o CNJ instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário.

No entanto, os erros apontados pelo hacker em seu depoimento indicam desconformidade com essa estratégia.

Após o "ataque" do hacker, o CNJ revogou as senhas de acesso a todos os sistemas e implementou um novo padrão de segurança.

Em uma nota enviada ao jornal, o CNJ informou que implementou todas as medidas necessárias para fortalecer seu ambiente cibernético.

O GitHub, no entanto, se recusou a comentar sobre o caso.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...