“Descuido de servidores” permitiu invasão ao sistema do CNJ, diz Delgatti

“Descuido de servidores” permitiu invasão ao sistema do CNJ, diz Delgatti

Compartilhe

O hacker Walter Delgatti Neto, preso preventivamente nesta quarta-feira (2) em operação que também teve como alvo a deputada federal bolsonarista Carla Zambelli, disse em depoimento à Polícia Federal que o descuido de servidores do Conselho Nacional de Justiça (CNJ) com senhas de acesso permitiu a invasão ao sistema do órgão. Zambelli foi apontada por Delgatti como mandante das invasões ao sistema do CNJ.

O descuido de servidores do Conselho Nacional de Justiça (CNJ) permitiu o acesso do hacker Walter Delgatti Neto ao sistema do órgão. “Os servidores confiavam demais que o sistema não seria invadido”, disse o hacker em depoimento à Polícia Federal, diz o Metrópoles.

No depoimento, o hacker contou que conseguiu acesso ao repositório de códigos-fonte usados pelos desenvolvedores do sistema do CNJ, o GitLab, usando um bug em outro site.

Nesse repositório, ele localizou uma plataforma auxiliar onde os desenvolvedores do sistema trocavam mensagens. Ele passou a acompanhar as conversas para entender o funcionamento dos códigos.

Delgatti analisou linhas de códigos por três meses e percebeu que muitas senhas usadas “eram muito frágeis, a exemplo de ‘123mudar’, ‘cnj123’ e ‘p123456’, ou seja, de fácil dedução”.

Foi assim que ele conseguiu acesso ao primeiro usuário que usou para entrar no sistema. O usuário “rosfran.borges” acabou sendo descoberto, e seu acesso foi bloqueado.

O hacker contou que o servidor Rosfran Borges “não teve qualquer participação na invasão, não tendo fornecido sua senha”, mas, na plataforma usada para as mensagens dos desenvolvedores, foi xingado por conta da invasão.

Uma das senhas “123mudar” era exatamente do conjunto de protocolos que dava acesso a diretórios de informações do CNJ, o LDAP.

“Em alguns bancos de dados, a senha não era um ‘hash’ [uma senha criptografada], mas a senha em si, o que demonstrou um descuido por parte dos administradores, haja vista possibilitar combinações em outros sistemas”, disse Delgatti.

A operação desta quarta-feira também cumpriu mandados de busca e apreensão nos endereços da deputada Carla Zambelli. Ela foi apontada por Delgatti como mandante das invasões ao sistema do CNJ.

Compartilhe

%d blogueiros gostam disto: