STJ é alvo do pior ataque cibernético na história do Brasil
O Superior Tribunal de justiça (STJ) foi alvo de um grave ataque cibernético na última terça-feira (3), onde cerca de 12 mil processos foram criptografados, além da constatação do bloqueio de contas de e-mails e até mesmo dos back ups do sistema.
Devido ao incidente, o site do Tribunal se encontra fora do ar. Por medidas de precaução, os prazos processuais foram suspensos e todas as audiências virtuais forma canceladas até a próxima segunda-feira (9). O tribunal informa, contudo, que o sistema de plantão permanece ativo, bem como que demandas urgentes, como o habeas corpus, pedidos de liminares e mandados de segurança, estão sendo atendidos e operados manualmente.
Ademais, outras tratativas urgentes deverão ser direcionadas à presidência do STJ e encaminhadas ao e-mail [email protected].
Em nota oficial assinada pelo ministro e presidente do STJ, Humberto Martins, o tribunal afirma que o incidente teria ocorrido durante sessões de julgamento e que a Polícia Federal foi imediatamente acionada para investigar o caso.
Prejuízos e atrasos
Apenas na quarta -feira, cerca de 2.500 decisões monocráticas deixaram de ser concluídas e publicadas. Ao menos 280 processos que seriam julgados de forma virtual e mais de 126 casos previstos para serem avaliados em sessões colegiadas também foram paralisados. Peritos ouvidos pelo site Uol, afirmam que o caso é ‘o mais grave ataque hacker’ já verificado nos órgãos públicos da capital federal.
Ainda não há informações sobre o comprometimento de processos sigilosos.
Ataque de ransomware
Segundo o site canaltech, o ataque teria sido um ransomware. O vírus funciona através da invasão na base de dados do alvo, onde o mesmo criptografa os dados encontrados e promete sua liberação somente mediante pagamento.
Segundo imagens publicadas nas redes sociais, a suposta mensagem que os hackers teriam enviado ao STJ diz que “seus arquivos estão totalmente criptografados; modificar o nome ou conteúdo dos itens afetados (*.stj888) pode causar falhas na restauração”.
Segundo um dos técnicos de sistema do Superior Tribunal de justiça, o ransomware teria sido enviado por e-mail. O mesmo afirmou que “uma conta Domain Admin foi explorada, o que permitiu que o hacker tivesse acesso aos nossos servidores, se inserisse em grupos de administração do ambiente virtual e, por fim, criptografasse boa parte das nossas máquinas virtuais”.
Outros sistemas do governo podem ter sido atingidos
Segundo informação divulgada pela Polícia Federal, responsável pela investigação do caso, o ataque pode ter se estendido a outros sites oficiais governamentais. O Ministério da Saúde, por exemplo também perdeu acesso a todos os seus sistemas de comunicação na manhã desta quinta-feira (5). A rede foi desativada por volta das 9h30, impedindo o uso de alguns sistemas internos do SUS e do e-mail funcional.
“Preventivamente, o DataSUS desativou as redes e o acesso à VPN”, diz uma mensagem interna aos servidores.
O ataque pode ter sido ainda mais extenso. Outros sites com domínio df.gov.br, que corresponde ao governo do DF, também retornam com uma mensagem de erro em comum: “Não é possível acessar esse site, ERR_CONNECTION_TIMED_OUT”.
Presidente afirma que o hacker já foi encontrado
Na última quinta-feira (5) , o presidente Jair Bolsonaro comunicou ao vivo que a Polícia Federal já identificou o invasor do sistema do STJ. O presidente ainda elogiou a atuação da PF e zombou do responsável pelo ataque, porém não deu mais detalhes sobre a investigação.
[Transcrição] “Aí, pessoal, alguém entrou lá no acervo do STJ, Superior Tribunal de Justiça, né? Pegou tudo, pegou todo o arquivo lá, guardou e pediu resgate”, disse. “É o Brasil, né? Pedido de resgate…”, complementou.
“Bem, a Polícia Federal entrou em ação imediatamente. Tive a informação do diretor-geral da PF, o senhor Rolando Alexandre”, continuou Bolsonaro. “Já descobriram quem é o hackeador.”
Logo após a declaração do presidente, o STJ declarou que o hacker “bloqueou, temporariamente, o acesso aos dados” e assegurou que todas as informações “estão preservadas nos sistemas de backup”.
Proteção de dados pessoais e a segurança digital do país
Poucos meses após a Lei Geral de Proteção de Dados entrar em vigor no Brasil, esse grave cenário chama a atenção para a falta de maturidade dos sistemas públicos em segurança da informação. A lei em tela abarca todas as instituições que lidam com dados pessoais para fins econômicos, o que, evidentemente, inclui o setor público, vítima de uma severa invasão à sua base de dados nesta semana.
Segundo Luiz Augusto D’Urso, advogado especialista em crimes virtuais, o episódio reforça a ‘necessidade de se repensar a segurança digital no Brasil’. “Este ocorrido é um dos ataques mais graves na história de nosso país, em razão da importância e da quantidade de informações que podem ser perdidas”, afirma.
O Brasil ocupa hoje o quinto lugar no ranking de países que mais sofrem ataques cibernéticos de ransomware. Cenário extremamente desfavorável para a credibilidade e aculturamento de empresas em tempos de adequação ao tratamento e proteção de dados em que se encontra.
Possibilidade de reparação de danos
As preocupações recaem, ainda, sobre o fato de instituições como o STJ configurarem como controladores de dados dos cidadãos em seus contextos específicos de atuação. Nesse sentido, deveriam os mesmos estarem preparados e munidos de toda a robustez disponível para com seus sistemas a fim de proteger, e, principalmente, dar o exemplo, para as demais insituições que lidam com dados dos cidadãos.
Conforme estabelecido em lei mesmo antes da vigência da LGPD, as sanções administrativas frente à infrações não poderão ser aplicadas até agosto de 2021. Contudo, com os direitos dos titulares já em vigor, os mesmos podem ajuizar ações requerendo reparação à luz do comprometimento de seus dados pessoais no ataque cibernético sofrido pelo STJ.
Não se sabe, no entanto, de que forma o ingresso da ação poderá ocorrer. Com poucos casos que abarcam o assunto de proteção de dados à luz da LGPD, não há precedentes suficientes que respondam os os principais questionamentos a respeito de uma possível ação. Nesse sentido, ainda nota-se insegurança jurídica frente à fiscalização e monitoramento de ocorridos sob a ótica de proteção de dados no país. Apesar de formalmente constituída, a ANPD ainda não está a frente da apuração de incidentes como este.
