O que estão compartilhando: que o Banco Central (BC) teria sido hackeado e perdido mais de R$ 3 bilhões. A postagem ironiza: "por que o BC ainda não está usando o super sistema 'inhackeável' do TSE e das nossas urnas eletrônicas?"
O Estadão Verifica investigou e concluiu que: é falso. O Banco Central não foi invadido. O que houve foi uma tentativa de fraude contra a empresa de tecnologia C&M Software, que conecta instituições financeiras aos sistemas do BC. Criminosos usaram a credencial verdadeira de um cliente para acessar os sistemas da empresa e desviar dinheiro. Os valores desviados podem chegar a R$ 1 bilhão, não a R$ 3 bilhões.
Um especialista ouvido pelo Verifica explicou que não é possível comparar a segurança das urnas eletrônicas com a da C&M Software. Os equipamentos de votação não podem ser acessados da mesma forma porque a urna não é conectada à internet ou a qualquer outro tipo de conexão em rede, como já explicou o Tribunal Superior Eleitoral (TSE) .
O Banco Central foi invadido?
Não, o Banco Central não foi invadido. O BC informou ao Verifica que "os sistemas administrados pelo Banco Central não foram afetados" e que "não houve prejuízo financeiro ao BC e a outros órgãos públicos."
O que aconteceu?
O que aconteceu foi uma tentativa de fraude à empresa de tecnologia C&M Software, que conecta instituições financeiras aos sistemas do BC, incluindo o Pix. Não houve uma invasão à C&M. Criminosos usaram credenciais verdadeiras para acessar os sistemas da empresa e fazer transações.
A empresa confirmou essa informação. Em comunicado, a C&M disse que foi "vítima indireta de um ataque que se originou a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas por terceiros mal-intencionados". O Estadão/Broadcast apurou que o desvio foi de pelo menos R$ 800 milhões. Mas fontes do mercado estimam que esse valor possa chegar a R$ 1 bilhão.
Como a C&M é uma empresa que presta serviços de tecnologia para instituições financeiras de pequeno porte, que não têm meios de conexão próprios, algumas empresas ficaram sem acesso ao Pix. A conexão foi restabelecida na terça-feira, 3 (o ataque aconteceu em 1º de junho).
Como a polícia prendeu suspeito de facilitar ataque hacker que desviou R$ 800 milhões de bancos
Quais são as empresas afetadas pelo ataque hacker que desviou quase R$ 1 bi
Não seria possível acessar urnas eletrônicas da mesma forma
O sistema da C&M Software não é comparável ao das urnas eletrônicas, e uma tentativa de fraude dentro das mesmas circunstâncias seria improvável.
É o que explica Marcos Simplício, professor de Engenharia da Computação da Escola Politécnica da Universidade de São Paulo (USP), pesquisador das áreas de cibersegurança e criptografia e coordenador do convênio USP-TSE.
"Tem muitos 'supondo que' para conseguir chegar em algo perto do que aconteceu com o sistema da C&M. Os sistemas não são comparáveis", afirmou.
Mesmo que uma pessoa com acesso ao sistema de produção da urna inserisse um código malicioso no equipamento, essa violação não passaria despercebida, devido às etapas de controle e transparência do processo de votação.
"O TSE carrega a urna com com o software antes das eleições para mostrar como vai ser, como está funcionando o software, para demonstrações públicas", detalhou. "(O hacker) teria que fazer algum truque para não aparecer (a fraude) nessas verificações".
Marcos explica que é importante a preocupação com ataques internos, mas que um exemplo isolado de ataque digital não indica que o sistema do TSE é inseguro.
Urnas não podem ser hackeadas, de acordo com TSE
O TSE afirma que as urnas eletrônicas não podem ser hackeadas. Primeiro, porque o equipamento não é conectado à internet, nem tem placa que dê acesso a outro tipo de conexão em rede, como Wi-Fi ou bluetooth, que poderiam permitir uma invasão.
Se houver alteração em uma linha de programação do código-fonte que é inserido na urna, ela simplesmente não funciona. Isso graças a um componente chamado hardware de segurança, que recebe as chaves de verificação dos programas que serão acionados na urna eletrônica.
O TSE também realiza Testes Público de Segurança do Sistema Eletrônico de Votação (TPS), sempre no ano que antecede votações. Nessas conferências, participantes recebem informações sobre os mecanismos da urna e código-fonte do software para tentar violar as barreiras de segurança do aparelho.
Como mostrou o Verifica, o último TPS foi realizado em 2022 e o relatório final apontou que nenhuma tentativa de ataque teve sucesso em alterar votos. O próximo teste deve ser realizado em dezembro deste ano, para as eleições do ano que vem.
Confira outros pontos que garantem a segurança da urna: Códigos-Fonte Transparentes e Auditáveis: os programas que fazem a urna eletrônica funcionar são desenvolvidos pelo TSE para cada eleição. É possível fazer auditoria nas urnas antes e depois do processo de votação. Os códigos são abertos e ficam disponíveis para que partidos e outros órgãos analisem.Integridade e Autoria Garantidas: após as auditorias anteriores ao processo de votação, os programas são finalizados e inseridos nas urnas eletrônicas, e não são mais alterados. Após a lacração do sistema, resumos digitais chamados de "hashes" são publicados e podem ser verificados por qualquer cidadão.Processo de Fabricação Rigoroso: A empresa fabricante não tem acesso ao código-fonte nem para testar as urnas sem a chave da Justiça Eleitoral e técnicos do TSE acompanham todas as etapas de fabricação.
O Estadão Verifica resgatou algumas das informações erradas que circularam sobre os equipamentos de votação em eleições passadas para que você não se deixe enganar. Confira aqui.
Veja todas as checagens sobre urnas eletrônicas publicadas pelo Estadão Verifica
