Depois do ataque aos site do Superior Tribunal de Justiça (STJ), eis que hackers chegaram ao Supremo Tribunal Federal (STF). A situação, porém, foi contornada e segundo o próprio STF em nota divulgada ontem (07) nenhuma informação sigilosa teria sido afetada.
O ataque dos hackers ao site do STF teria ocorrido na quinta-feira(06) e foi semelhante ao que ocorreu em novembro do ano passado ao STJ. A diferença, porém, é que a invasão não teria resultado em sucesso. Consta na nota publicada pelo STF, que o “acesso fora do padrão foi contido enquanto ainda estava em andamento”.
Dados do STF invadidos
No mesmo documento, o tribunal ainda mencionou que “somente dados públicos ou de características técnicas do ambiente foram acessados, sem comprometimento de informações sigilosas”.
O chamado “acesso fora do padrão” não impediu que o sistema para receber petições eletrônicas funcionasse:
“Todos os sistemas que garantem a atuação jurisdicional do STF, como peticionamento eletrônico, seguiram funcionando adequadamente, sem a necessidade de desligamento”.
O caso, entretanto, segue em investigação das autoridades a fim de apurar quem são os responsáveis pelo ataque cibernético.
No dia em que o ataque ocorreu, os técnicos que atuam no STF revelaram ao site O Bastidor de que havia a hipótese de se tratar de um ataque por meio de injeção SQL.
Ataque comum
Esse tipo de ataque é bastante comum entre os hackers. Segundo informações do site Perícia Computacional, do perito judicial Petter Anderson Lopes, nas injeções SQL, o hacker injeta dados em aplicação web não confiáveis, mas como esses dados estão no banco de dados não há tanta desconfiança por parte do programador
O site especializado recomenda que “os dados de um banco de dados devem ser tratados como não confiáveis, a menos que se prove o contrário, por exemplo, por meio de processos de validação”.
Caso esse tipo de ataque resultar em sucesso, essa injeção pode manipular a consulta no banco de dados SQL e terminar executando uma operação no banco de dados, a qual não era a pretendida pelo programador.
No caso do STF, os técnicos em TI conseguiram detectar a invasão em tempo e acionaram os protocolos de segurança para deter a atuação hacker, segundo consta em O Bastidor. Esse procedimento fez com que o site ficasse fora do ar para alguns usuários.
Caso semelhante no STJ
A situação poderia ter sido pior, caso os técnicos não atuassem a tempo. No caso do STJ, o ataque foi bem sucedido e o hacker conseguiu sequestrar os dados e criptografá-los. Neste tipo de ataque, vale lembrar, os hackers costumam exigir pagamentos em criptomoedas, como Bitcoin, para não vazar informações na dark web.
O resultado foi que o STJ ficou sem acesso a dados e informações importantes que estavam em seu banco de dados. O hacker, então, para liberar os dados pediu resgate. O valor não foi informado.
Apesar de esse “acesso fora do padrão” ao STF guardar semelhanças àquele ocorrido em novembro do ano passado ao STJ, o Supremo Tribunal Federal na nota publicada em seu site amenizou a situação afirmando que “o acesso não teve intuito de ‘sequestro’ de ambiente, mas apenas de obtenção de dados”.
Contornando a situação
O STF não confirmou na nota se o caso seria mesmo um ataque de um hacker ou acesso de robôs adotados por empresas e escritórios ligados ao Direito para capturar “dados públicos, como andamento processual e jurisprudência, para uso lícito”.
O tribunal, no entanto, não descartou a possibilidade de ter ocorrido de fato um ataque cibernético ao seu banco de dados:
“Nos casos em que os sistemas do Tribunal não identificam de imediato se a alta quantidade de acessos é oriunda de um “robô do bem” ou de um hacker com intenções ilícitas, medidas são adotadas para reforço da segurança de suas portas de entradas”.
A nota termina pedindo desculpas aos seus usuários como jornalistas e profissionais do Direito pelo ocorrido:
“O STF lamenta eventuais transtornos causados a cidadãos, operadores do direito, jornalistas, entidades e empresas em razão da interrupção momentânea do serviço, mas ressalta absoluto compromisso com a transparência e a segurança da informação”.
