Hackers atacam Bolsa Família

Hackers conseguiram derrubar na tarde de ontem (terça, 21 de março) sistemas do Ministério do Desenvolvimento Social, o MDS. A pasta é a responsável pelo cadastro das 22,7 milhões de famílias do Bolsa Família. Também gerencia os pagamentos dos benefícios. São dados altamente sensíveis - e valiosos para criminosos digitais. Técnicos que atuaram na defesa dos sistemas suspeitam que os hackers pretendiam invadir o ambiente de pagamentos de benefícios do Bolsa Família e assumir o controle dele.

Segundo os profissionais envolvidos no socorro ao MDS, os hackers começaram os ataques por volta das 16h. Nos 30 minutos seguintes, houve uma batalha entre os funcionários do governo, que contaram com a ajuda informal de amigos em empresas de segurança, e os invasores. Os hackers avançaram pelo sistemas de proteção do Ministério (os firewalls) e, disparando ataques DDoS, derrubaram parte da estrutura digital da pasta, sobretudo os serviços web.

Ataques DDoS são relativamente comuns. Em tese, salvo em casos de alta capacidade tecnológica, são perfeitamente defensáveis. Por meio deles, hackers direcionam uma grande quantidade de tráfego a um site ou a uma aplicação, sobrecarregando-a. Caso seja bem sucedido, o ataque leva à queda do alvo e à possibilidade de se injetar um vírus nele. Essa etapa, se também for exitosa, permite que o invasor se aposse do sistema e dos dados nele contidos. A partir daí, os estragos são inevitáveis. Pode-se apagar dados, manipulá-los, sequestrá-los, revendê-los a outros criminosos, manobrá-los para uso em outras invasões.

Nos cerca de 30 minutos que se seguiram à queda de parte dos sistemas, os técnicos depararam com o pior cenário possível: a invasão e o consequente sequestro dos dados do Bolsa Família, sobretudo de pagamento de benefícios, no sistema Teradata. Trata-se do ambiente que, em linhas gerais, guarda tudo sobre o principal programa social do governo. Em caso de sucesso dos hackers, é difícil exagerar as consequências devastadoras para o país.

Naquele momento, o êxito parcial dos criminosos explicava-se, em parte, pela péssima qualidade da defesa que eles haviam encontrado. Em vez de esbarrarem numa fortaleza de muros altos e pontiagudos, com câmeras de alta definição e alarmes barulhentos, encontraram uma portinhola fechada com um cadeado simples e velho. Em resumo: a estrutura digital do Bolsa Família está depauperada e vulnerável. "Hackers mais sofisticados, que atacassem à noite e com mais capacidade, teriam feito uma festa na infra-estrutura do MDS", disse um dos técnicos, lembrando que alguns de seus colegas seguem em trabalho remoto, com computadores velhos. "O Teradata está definhando."

Segundo documentos internos da pasta, não há máquina, sistema e serviço que não esteja abandonado. Os sistemas de segurança da informação estão obsoletos. Aqui, alerta-se o leitor: é impossível fugir dos jargões da tecnologia. Há, por exemplo, três grupos de firewall sem suporte e garantia. Há 15 servidores de rede também sem suporte e garantia. Os bancos de dados da Oracle estão, igualmente, desprovidos de suporte e garantia. É o mesmo caso dos quatro balanceadores Big IP F5, um tipo de instrumento fundamental para a segurança e a eficiência do ambiente do Bolsa Família.

Por uma mistura de habilidade dos técnicos, amadorismo dos hackers e sorte, os invasores atravessaram as defesas, derrubaram a porta - mas não conseguiram invadir o cofre do Bolsa Família. Foi por pouco. Após meia hora, os profissionais do governo e de empresas privadas conseguiram reerguer os sistemas. Aparentemente, o cofre está a salvo, ainda que exposto.

Para os técnicos, o alívio momentâneo logo deu lugar novamente à preocupação incessante com um problema crônico. Não é a primeira vez que o Bolsa Família sofre ataques. Ao menos outros dois já ocorreram no passado recente. Um deles foi descrito como "queda de energia" - uma cascata, segundo eles.

Após três tentativas de invasão, e diante da precariedade da infraestutura digital do MDS, um ataque exitoso e potencialmente colossal revela-se uma questão de tempo.

Segurança frágil

Esse não é o primeiro ataque hacker do qual o governo federal é alvo. Em 2021, ainda na gestão de Jair Bolsonaro, hackers invadiram e roubaram dados do Ministério da Saúde, além de inviabilizar o acesso a programas e ao registro de informações do Sistema Único de Saúde. 

A ação dos vândalos digitais provocou problemas graves no acompanhamento de dados da Covid-19, em um dos últimos picos da doença, quando a vacinação ainda engatinhava e os números de infectados e mortes cresciam vertiginosamente.

À época, a Polícia Federal foi acionada e abriu inquérito para investigar o caso. Até agora, não há informações sobre pessoas punidas pela ação. No ataque de ontem, os policiais não foram acionados.

Atualização às 16h30, do dia 27 de março de 2023: 

O Ministério do Desenvolvimento Social enviou a seguinte nota:

"Informamos que no último dia 21/03/2023 houve um incidente cibernético de negação de serviços distribuídos (DDOS) direcionado a equipamentos que suportam alguns sistemas do domínio "mds.gov.br".

A equipe técnica atuou imediatamente e mesmo alguns sistemas apresentando lentidão, todos se mantiveram em operação mantendo a disponibilidade dos serviços.

Os protocolos e demais ferramentas de segurança que utilizam criptografia foram seguidos mantendo os dados preservados e garantindo êxito nas operações executadas. Esclarecemos que nenhum dado sensível foi afetado ou acessado."