Prisão dos “hackers”, o que se sabe até agora e as perguntas sem resposta

Walter Delgatti Neto, uma das quatro pessoas presas na terça, disse à PF, de acordo com jornal, que foi a fonte do material publicado pelo 'The Intercept'

ADRIANO MACHADO (REUTERS)

Os quatro detidos desde terça-feira suspeitos de hackear os celulares de autoridades, entre elas do ministro da Justiça, Sergio Moro, e de jornalistas também invadiram os aparelhos do presidente Jair Bolsonaro, segundo o Ministério de Justiça. De acordo com as informações divulgadas por diferentes órgãos, os acusados de formarem uma quadrilha para realizar crimes cibernéticos hackearam até 1.000 autoridades, desde o magistrados das cortes superiores até o presidente da Câmara, Rodrigo Maia.

Quem ordenou as prisões executadas pela Polícia Federal na terça-feira, como parte da Operação Spoofing, foi o juiz federal de Brasília Vallisney de Oliveira. Segundo o jornal Folha de S. Paulo, um dos presos, Walter Delgatti Neto, de 30 anos, confessou à PF ter sido a fonte do material repassado ao site The Intercept. O conteúdo, que embasou reportagens publicadas pelo site e por outros veículos, contém diálogos mantidos no auge das investigações da Lava Jato entre o então juiz federal Moro e o procurador Deltan Dallagnol. O The Intercept diz ter recebido o material de uma fonte anônima. Segundo seu depoimento à polícia, que veio à púbico nesta sexta-feira, Delgatti afirmou que foi ele quem passou, de forma anônima, o material ao fundador do site, Glenn Greenwald, sem cobrar por isso.

Quem são os supostos hackers?

Mais informações

Um dos detidos pela PF é Walter Delgatti Neto, conhecido como Vermelho, de 30 anos, que se diz investidor e já foi preso por falsidade ideológica e tráfico de drogas. Ele foi detido em Araraquara e, em depoimento prestado à polícia na quarta-feira, confessou que tentou invadir a conta de Moro no Telegram e disse que deu, de forma anônima e gratuita, ao jornalista e Glenn Greenwald, fundador de The Intercept, acesso a informações obtidas no aplicativo. O juiz Vallisney Oliveira autorizou a quebra dos sigilos bancário, fiscal e telemático de Delgatti Neto e dos demais presos, todos naturais de Araraquara, cidade paulista a 275 quilômetros da capital.

Delgatti Neto também era filiado ao partido Democratas (DEM). Nesta quarta-feira, o partido determinou, por meio de nota, a expulsão do acusado, enfatizando que o suposto hacker "não tem participação ativa na vida partidária da legenda".

O ex-DJ Gustavo Henrique Elias Santos, de 28 anos, detido em São Paulo, disse ao seu advogado que Delgatti Neto mostrou-lhe mensagens de autoridades obtidas ilicitamente, mas tanto ele quanto sua mulher, Suellen Priscila de Oliveira, de 25 anos, também detida, negaram envolvimento no caso. Santos já havia sido preso por receptação e falsificação de documentos, mas Oliveira não tinha passagem pela polícia.

O outro preso é Danilo Cristiano Marques, ex-motorista de Uber, de 33 anos, condenado no passado por roubo. Em depoimento prestado na quarta-feira, ele negou qualquer participação nos crimes.

Quem são os outros seis investigados?

Além dos quatro presos, a PF investiga o possível envolvimento de seis pessoas, cujos nomes aparecem vinculados às contas utilizadas na invasão ao aparelho de Moro. Os agentes rastrearam os endereços de IP (número identificador de computador na Internet) utilizados para as invasões do Telegram e conseguiram chegar aos endereços desses indivíduos. Ainda não há, no entanto, evidências da participação direta deles no caso.

De acordo com a PF, os e-mails dessas pessoas estão associados a usuários do sistema BRVOZ dos quais partiram os ataques. O juiz Vallisney de Oliveira determinou a quebra do sigilo telemático desses e-mails. 

Desses seis investigados, o único nome revelado até agora é o de Anderson José da Silva, o dono de uma das contas utilizadas na invasão. A PF não comprovou, no entanto, ter sido Anderson o autor do ataque, apenas que sua conta teria sido usada por terceiros para isso.

Os suspeitos têm relação com as conversas publicadas por The Intercept?

Nesta sexta-feira, a Globonews divulgou o depoimento que Delgatti Neto deu à Polícia Federal. Nele, ele teria afirmado que em posse do material teria procurado a ex-deputada federal pelo PCdoB, Manuela D'Ávila, e afirmou que possuía um acervo de conversas do Ministério Público federal contendo irregularidades. E que, por isso, precisava do contato do jornalista Glenn Greenwald, do site jornalístico. Depois de enviar para ela uma gravação de áudio entre dois procuradores da Lava Jato, Greenwald  ligou para ele e afirmou que tinha interesse pessoal no material, que era de interesse público. O conteúdo, segundo ele, foi repassado anonimamente a Greenwald, por meio de uma conta de Dropbox.

Houve mandantes das invasões?

Ainda não há informações concretas sobre isso, mas a Operação Spoofing apreendeu 100.000 reais na casa de Gustavo Santos e Suellen de Oliveira e identificou movimentações bancárias suspeitas nas contas do casal. Gustavo Henrique movimentou 424.000 entre abril e junho de 2018, e Suelen movimentou 203.000 entre março e maio deste ano, quantias que a PF considera incompatíveis com a renda declarada por ambos —de 2.800 e 2.100, respectivamente.

O juiz Vallisney de Oliveira ordenou o rastreamento dos recursos recebidos e movimentados pelo casal, com a intenção de "averiguar eventuais patrocinadores das invasões ilegais dos dispositivos informáticos". Segundo ele, há indícios de que o grupo integra uma “organização criminosa" que se uniu "para violar o sigilo telefônico de diversas autoridades públicas brasileiras via o aplicativo Telegram”.

Outras pessoas foram hackeadas?

Delgados da PF informaram em coletiva de imprensa na quarta-feira que é possível que outras 1.000 pessoas —entre jornalistas e integrantes dos três Poderes— tenham sido alvo de ataques cibernéticos. Entre elas, estaria a deputada Joice Halssemann (PSL-SP), que disse ter sofrido uma invasão no celular no último fim de semana.

A PF também encontrou indícios que o celular do ministro da Economia, Paulo Guedes, teria sido clonado: um dos suspeitos presos tinha uma conta com o nome do ministro no Telegram.

Por que o Telegram foi o principal alvo de ataques?

Criado na Rússia, em 2013, o Telegram ganhou popularidade como um serviço com criptografia "de ponta a ponta" — que, supostamente, impediria o rastreamento da origem das mensagens e de seu conteúdo—. A plataforma não explica exatamente, no entanto, como essa criptografia é feita, mas é sabido que ela não funciona para conversas em grupo. Parte das conversas divulgadas por The Intercept ocorreram em grupos que reuniam procuradores integrantes da Lava Jato.

Outra brecha do Telegram é que, diferente de outros aplicativos de mensagens como WhatsApp ou Signal, a criptografia é opcional. O usuário pode habilitar ou desabilitar a criptografia de ponta a ponta e a destruição de mensagens ao selecionar a opção de "chat secreto". Por padrão da plataforma, essa opção não fica marcada para permitir que os usuários acessem suas conversas de vários dispositivos sem depender do celular. Caso o aparelho telefônico esteja sem bateria ou fora do alcance, um usuário do Telegram pode acessar suas conversas de um computador, por exemplo, e conversar normalmente. Isso não é permitido pelo WhatsApp, por exemplo, cujo acesso depende da conexão do aparelho telefônico.

Como era o golpe cibernético, segundo o juiz de Brasília?

Foi precisamente um truque que combina a versão para computador do Telegram, a clonagem de números telefônicos e a vulnerabilidade dos serviços de caixa postal de celulares que os hackers usaram para invadir os celulares das autoridades. Segundo a PF, eles usaram a tecnologia VOIP (serviços de voz sobre IP), que permite fazer ligações via computadores, telefones convencionais ou celulares de qualquer lugar do mundo. A tecnologia VOIP é oferecida pela empresa BRVOZ, cujo cliente pode utilizar a função identificador de chamadas para "realizar ligações telefônicas simulando o número de qualquer terminal telefônico como origem das chamadas", inclusive o número da própria vítima. Com essa tecnologia, os investigados teriam solicitado o código de acesso para ativar o serviço Telegram Web (uso do aplicativo de conversas no computador) por meio de ligação telefônica.

O invasor, então, teria realizado diversas ligações para o número de Sergio Moro, com objetivo de manter a linha ocupada, para que a ligação contendo o código de ativação do serviço Telegram Web fosse direcionada para a caixa postal da vítima (Moro disse ter recebido ligações de seu próprio número no dia 4 de junho). O uso dessa mesma tecnologia permite que sejam feitas ligações para a caixa postal, com o uso simulado da linha telefônica da vítima. Por uma falha de segurança das telefônicas, é possível ouvir a mensagem enviada pelo Telegram com o código para acesso no computador.

Se Moro diz que apagou o Telegram, como ele foi alvo potencial do golpe?

Uma das dúvidas não esclarecidas pelo despacho do juiz é que, no caso de Moro, o ministro diz não usar o Telegram desde 2017: mesmo sem o aplicativo instalado é possível que ele apareça como dono de uma conta web para ser alvo potencial do golpe?

O ministro não detalhou se apenas deixou de usar o serviço; se somente deletou o aplicativo do celular; ou se excluiu sua conta. No primeiro cenário, a conta de Moro permaneceria ativa (e com as conversas armazenadas nos servidores do Telegram) por no máximo 12 meses, já que a contas do serviço se "autodestroem" após um tempo de inatividade (o padrão é de seis meses, mas pode ser alterado pelo usuário). Se o ministro apenas tirou o aplicativo do celular, suas conversas voltariam a aparecer, desde que o período de inatividade não tenha excedido o tempo limite para a desativação automática de conta, que pode ser configurado de um a 12 meses.

A exclusão imediata do histórico de conversas só aconteceria se Moro tivesse apagado de vez a conta, já que as políticas de privacidade do Telegram garantem que, ao ser excluído o perfil, todas as "mensagens, mídia, contatos e qualquer informação" são deletadas da nuvem da empresa e do aparelho do usuário. Tal processo não pode ser desfeito.

Considerando todos os cenários, o mais provável é que, de fato, as mensagens de Moro não existam mais. Tendo em conta, no entanto, que os diálogos vazados teriam sido feitos em grupos, o acesso às mensagens poderia ser feito pelo aplicativo de outros participantes da conversa.

O que a investigação representa para o ministro da Justiça?

Sergio Moro é um alvo do grupo do suspeitos detidos, segundo as autoridades, um protagonista das reportagens do The Intercept e, ao mesmo tempo ministro da Justiça e comandante da Polícia Federal que lidera as investigações. O sobreposição de papéis fez crescerem as críticas à conduta de Moro. Antes que a PF falasse, o ministro ligou a prisão dos supostos hackers ao publicado pelo The Intercept. Nesta quinta, ele chegou a informar a autoridades que elas estavam haviam sido alvo dos criminosos e prometeu destruir tudo encontrado com o grupo. "O presidente do Superior Tribunal de Justiça (STJ), ministro João Otávio de Noronha, confirma que recebeu a ligação do ministro da Justiça, Sergio Moro, informando que o seu nome aparece na lista das autoridades hackeadas [...]. O ministro Moro informou durante a ligação que o material obtido vai ser descartado para não devassar a intimidade de ninguém", informou o STJ em nota. A manifestação do ministro seria desautorizada pela própria PF horas depois. 

Se não serão apagadas, como disse Moro, o que vai acontecer com as mensagens que tenham sido encontradas com os suspeitos, afinal?

Depois das declarações de Moro, a PF divulgou nota dizendo que cabe ao juiz do caso definir o destino do material. "A Polícia Federal esclarece que as investigações que culminaram com a deflagração da Operação Spoofing não têm como objeto a análise das mensagens supostamente subtraídas de celulares invadidos. O conteúdo de quaisquer mensagens que venham a ser localizadas no material apreendido será preservado, pois faz parte de diálogos privados, obtidos por meio ilegal. Caberá à Justiça, em momento oportuno, definir o destino do material, sendo a destruição uma das opções."

Qual uso pode ser feito do conteúdo de vazamentos, se for comprovado que vieram da ação dos hackers?

A prisão dos suspeitos reacendeu o debate em torno do uso, jornalístico ou no âmbito jurídico, de informações provenientes de vazamentos, quer tenham origem legal ou criminosa. No caso das informações contidas na série do The Intercept, que passou a compartilhar os vazamentos com outros veículos como a Folha e a Veja, o site diz ter recebido de uma fonte anônima. A Folha tem frisado que não incentiva ou promove crimes para obter informações, mas "que pode, no entanto, publicar informações que foram fruto de ato ilícito se houver interesse público no material apurado". Legalmente, as mensagens publicadas, seja qual for a origem comprovada delas, podem ser usadas nas defesa de réus, embora não para incriminar pessoas, segundo avaliou ao EL PAÍS Ivar Hartmann, professor da FGV no Rio e coordenador do Supremo em Números.

Rafael Mafei, professor de Direito da USP, diz também que a investigação sobre o teor das mensagens que tenham sido obtidas pelo grupo acusado de detido "não pode ser negligenciada". Ele lembra que o Código de Processo Penal determina que todos os fatos e circunstâncias de um crime sejam apurados. "Uma coisa é você hackear, pegar o conteúdo e não adulterá-lo. Outra coisa é você, além de tudo, adulterá-lo, dar publicidade e prejudicar uma pessoa. Essa é uma circunstância relevante do fato que deveria estar sendo apurada, porque poderia configurar outros ilícitos, além daqueles ligados ao hackeamento."

Como um pequeno grupo de pessoas conseguiu, com técnicas pouco sofisticadas, hackear a elite política da República, segundo a PF?

A Polícia Federal afirmou em coletiva de imprensa nesta quarta-feira que os suspeitos teriam acessado mais de 1.000 números de autoridades. Entre elas procuradores, ministro da Economia Paulo Guedes, os presidentes da Câmara e do Senado, Rodrigo Maia (DEM-RJ) e Davi Alcolumbre (DEM-AP) e o próprio presidente Jair Bolsonaro, segundo o ministério da Justiça. Em seu depoimento, Delgatti Neto afirmou que teria começado o trabalho interceptando o promotor Marcel Zanin Bombardi, que foi o responsável pela denúncia contra ele por crime de tráfico de drogas relacionado a medicamentos prescritos. A partir dele, teve acesso ao número de um procurador da República, cujo nome não se recorda, e que participava de um grupo chamado Valoriza MPF [Ministério Público Federal] e, por meio de outro procurador deste grupo, chegou ao número do deputado Kim Kataguiri. Dele, ao do ministro do STF Alexandre de Moraes, que possibilitou o acesso ao número do ex-procurador da república Rodrigo Janot, chegando aos membros da força-tarefa da Lava Jato.