Nos últimos dias, você deve ter visto muita gente na sua linha do
tempo comentando o escândalo Panama Papers, que já é considerado o maior
vazamento de documentos confidenciais da história. Foram 2,6 TB de
dados publicados, contendo informações bancárias de contas offshore e
políticos importantes. Mas como tudo isso vazou?
Há indícios de que tudo começou quando um anônimo contatou Bastian Obermayer, repórter do jornal alemão Süddeutsche Zeitung (SZ),
perguntando se havia interesse da publicação em “alguns dados”. A
conversa avançou para um chat criptografado e, ao longo de um ano,
Obermayer recebeu mais de 11,5 milhões de documentos confidenciais do
escritório de advocacia Mossack Fonseca, do Panamá.
O hacker, ainda desconhecido (por motivos óbvios), frisou ao jornal SZ
que a comunicação entre os dois deveria ser criptografada. “Há algumas
condições. Minha vida corre perigo. Nós vamos nos falar por meio de
chats criptografados. Nenhum encontro pessoal, nunca”, exigiu o anônimo.
Como aponta a BBC Brasil,
Ramon Fonseca, um dos fundadores da Mossack Fonseca, negou que a
empresa ou seus funcionários tenham vazado os documentos, atribuindo a
publicação a “hackers externos”. A empresa já registrou uma denúncia e
espera encontrar os culpados.
O volume de documentos recebidos pelo jornal alemão foi tão grande
que eles precisaram pedir ajuda para o Consórcio Internacional de
Jornalistas Investigativos (ICIJ, na sigla em inglês) orientá-los nas
investigações. O consórcio compartilhou as informações com mais 109
veículos de comunicação de 76 países, incluindo os brasileiros UOL, O Estado de S. Paulo e RedeTV!.
Mas como esse hacker desconhecido conseguiu acesso aos arquivos, que
estavam em discos criptografados, e os enviou a uma estrutura tão
simples quanto a nuvem da Amazon? Uma reportagem especial do
especialista em segurança da Forbes indica que as falhas foram
da própria Mossack Fonseca, que usava softwares ultrapassados
internamente, desencadeando em brechas facilmente acessíveis.
Falhas e mais falhas de segurança
A famigerada criptografia (ou a falta dela) aparentemente foi uma
peça-chave para hackers conseguirem entrar no sistema. Os e-mails
internos da Mossack Fonseca não eram criptografados, como descobriu o
especialista em segurança e privacidade Cristopher Soghoian.
Além disso, os sites da firma tinham vulnerabilidades causadas por softwares antigos. Segundo a Forbes,
a página principal da Mossack Fonseca rodava uma versão do WordPress
que já estava ultrapassada há três meses. Mais grave ainda era a versão
do portal em que os consumidores acessavam dados sensíveis, que rodava o
Drupal 7.23, lançado há três anos (!).
Em 2014, a Drupal avisou aos consumidores que se eles rodassem alguma
versão mais antiga que a 7.32, lançada na época, já deveriam assumir
que foram hackeados. A versão 7.23 tem mais de 25 vulnerabilidades, e
duas facilitam o acesso a dados do servidor por hackers que podem enviar
à plataforma o seu código próprio.
Estima-se que essa vulnerabilidade esteja em vigor no site da firma
há 2 anos e meio, o que compromete as informações dos clientes da
Mossack Fonseca, que nem sequer sabiam das falhas. No dia 1º de abril
(sem mentiras envolvidas), os clientes receberam um comunicado avisando
que os servidores de e-mail tinham sido hackeados.
Segundo o WikiLeaks,
que divulgou a carta, a Mossack Fonseca avisou que estava tomando as
medidas necessárias para o caso não acontecer de novo. Mas esse pode ter
sido só um evento final, uma vez que Ramon Fonseca disse à agência de
notícias Reuters
que a falha foi “limitada”. Ele ainda reclamou de uma “campanha
internacional contra a privacidade”, pela firma ter sido duramente
criticada.
Ainda assim, por quase um ano, a empresa não avisou seus consumidores
de outras possíveis falhas no sistema ― e eles podem nem ter percebido.
Depois que os documentos foram obtidos, eles foram repassados por uma
criptografia feita pelo programa VeraCrypt, que é open-source.
Uma vez criptografados, os arquivos foram repassados para servidores
da Amazon, posteriormente compartilhados entre 400 jornalistas ao redor
do mundo, com mais medidas de segurança como autenticação em dois passos
e proteção contra ataques de força bruta. Para vasculhar mais de 11
milhões de arquivos e 2,6 TB de dados em tempo recorde, foram usados
vários softwares de pesquisa e escaneamento óptico de imagem.
Um deles foi o Nuix, uma ferramenta usada para vasculhar evidências em enormes repositórios de dados. À Forbes, o presidente da Nuix disse que o software já foi usado para vasculhar até 400 TB de informações. Haja armazenamento!
Por que o escândalo é importante
Você deve estar se perguntando: por que um bando de jornalistas e
alguns desenvolvedores se mobilizaram para vasculhar informações
contidas dentro de uma empresa no Panamá? A resposta é simples: são
documentos vindo de uma empresa offshore, comumente utilizada para
lavagem de dinheiro ou ocultação de patrimônio.
Para contextualizar, uma empresa offshore funciona para armazenar
recursos e esconder o nome do real proprietário. Elas podem ser usadas
para coisas boas, como proteger a identidade de uma empresa para manter
seus planos corporativos secretos. Mas normalmente são utilizadas para
que seus donos evitem o pagamento de impostos, guardando suas fortunas
em paraísos fiscais.
O Panamá é um paraíso fiscal, e a Mossack Fonseca fez uso das baixas
regulamentações de aplicação de capitais estrangeiros do país, para
estabelecer seus contatos. A firma era usada por clientes com um grande
volume de dinheiro que queriam abrir empresas no exterior de forma
sigilosa, sem pagar imposto.
A revelação de quem são as pessoas por trás das empresas que guardam
dinheiro com a Mossack Fonseca, então, é importantíssima. Os documentos
obtidos pelos jornalistas envolvem 12 chefes de estado atuais e 60
parentes, além de personalidades que usavam a firma para ocultar
patrimônio.
Foi descoberto, por exemplo, que o primeiro-ministro da Islândia,
Sigmundur Gunnlaugsson, era dono de uma empresa que acumulava
investimentos de sua esposa. Nesta semana, ele renunciou ao cargo.
Outros políticos, como Vladimir Putin, presidente da Rússia, e Petro
Poroshenko, presidente da Ucrânia, também estão envolvidos.
Fonte: TecnoBlog,Vox, Nexo Jornal.
Français 
Português do Brasil 
English 
Español 