O escândalo Panama Papers: como 2,6 TB de documentos confidenciais foram vazados
Falhas de segurança, softwares antigos e e-mails acessados estão envolvidos no caso
Nos últimos dias, você deve ter visto muita gente na sua linha do tempo comentando o escândalo Panama Papers, que já é considerado o maior vazamento de documentos confidenciais da história. Foram 2,6 TB de dados publicados, contendo informações bancárias de contas offshore e políticos importantes. Mas como tudo isso vazou?
Há indícios de que tudo começou quando um anônimo contatou Bastian Obermayer, repórter do jornal alemão Süddeutsche Zeitung (SZ), perguntando se havia interesse da publicação em “alguns dados”. A conversa avançou para um chat criptografado e, ao longo de um ano, Obermayer recebeu mais de 11,5 milhões de documentos confidenciais do escritório de advocacia Mossack Fonseca, do Panamá.
O hacker, ainda desconhecido (por motivos óbvios), frisou ao jornal SZ que a comunicação entre os dois deveria ser criptografada. “Há algumas condições. Minha vida corre perigo. Nós vamos nos falar por meio de chats criptografados. Nenhum encontro pessoal, nunca”, exigiu o anônimo.
Como aponta a BBC Brasil, Ramon Fonseca, um dos fundadores da Mossack Fonseca, negou que a empresa ou seus funcionários tenham vazado os documentos, atribuindo a publicação a “hackers externos”. A empresa já registrou uma denúncia e espera encontrar os culpados.
O volume de documentos recebidos pelo jornal alemão foi tão grande que eles precisaram pedir ajuda para o Consórcio Internacional de Jornalistas Investigativos (ICIJ, na sigla em inglês) orientá-los nas investigações. O consórcio compartilhou as informações com mais 109 veículos de comunicação de 76 países, incluindo os brasileiros UOL, O Estado de S. Paulo e RedeTV!.
Mas como esse hacker desconhecido conseguiu acesso aos arquivos, que estavam em discos criptografados, e os enviou a uma estrutura tão simples quanto a nuvem da Amazon? Uma reportagem especial do especialista em segurança da Forbes indica que as falhas foram da própria Mossack Fonseca, que usava softwares ultrapassados internamente, desencadeando em brechas facilmente acessíveis.
Falhas e mais falhas de segurança
A famigerada criptografia (ou a falta dela) aparentemente foi uma peça-chave para hackers conseguirem entrar no sistema. Os e-mails internos da Mossack Fonseca não eram criptografados, como descobriu o especialista em segurança e privacidade Cristopher Soghoian.
Além disso, os sites da firma tinham vulnerabilidades causadas por softwares antigos. Segundo a Forbes, a página principal da Mossack Fonseca rodava uma versão do WordPress que já estava ultrapassada há três meses. Mais grave ainda era a versão do portal em que os consumidores acessavam dados sensíveis, que rodava o Drupal 7.23, lançado há três anos (!).
Em 2014, a Drupal avisou aos consumidores que se eles rodassem alguma versão mais antiga que a 7.32, lançada na época, já deveriam assumir que foram hackeados. A versão 7.23 tem mais de 25 vulnerabilidades, e duas facilitam o acesso a dados do servidor por hackers que podem enviar à plataforma o seu código próprio.
Estima-se que essa vulnerabilidade esteja em vigor no site da firma há 2 anos e meio, o que compromete as informações dos clientes da Mossack Fonseca, que nem sequer sabiam das falhas. No dia 1º de abril (sem mentiras envolvidas), os clientes receberam um comunicado avisando que os servidores de e-mail tinham sido hackeados.
Segundo o WikiLeaks, que divulgou a carta, a Mossack Fonseca avisou que estava tomando as medidas necessárias para o caso não acontecer de novo. Mas esse pode ter sido só um evento final, uma vez que Ramon Fonseca disse à agência de notícias Reuters que a falha foi “limitada”. Ele ainda reclamou de uma “campanha internacional contra a privacidade”, pela firma ter sido duramente criticada.
Ainda assim, por quase um ano, a empresa não avisou seus consumidores de outras possíveis falhas no sistema ― e eles podem nem ter percebido. Depois que os documentos foram obtidos, eles foram repassados por uma criptografia feita pelo programa VeraCrypt, que é open-source.
Uma vez criptografados, os arquivos foram repassados para servidores da Amazon, posteriormente compartilhados entre 400 jornalistas ao redor do mundo, com mais medidas de segurança como autenticação em dois passos e proteção contra ataques de força bruta. Para vasculhar mais de 11 milhões de arquivos e 2,6 TB de dados em tempo recorde, foram usados vários softwares de pesquisa e escaneamento óptico de imagem.
Um deles foi o Nuix, uma ferramenta usada para vasculhar evidências em enormes repositórios de dados. À Forbes, o presidente da Nuix disse que o software já foi usado para vasculhar até 400 TB de informações. Haja armazenamento!
Por que o escândalo é importante
Você deve estar se perguntando: por que um bando de jornalistas e alguns desenvolvedores se mobilizaram para vasculhar informações contidas dentro de uma empresa no Panamá? A resposta é simples: são documentos vindo de uma empresa offshore, comumente utilizada para lavagem de dinheiro ou ocultação de patrimônio.
Para contextualizar, uma empresa offshore funciona para armazenar recursos e esconder o nome do real proprietário. Elas podem ser usadas para coisas boas, como proteger a identidade de uma empresa para manter seus planos corporativos secretos. Mas normalmente são utilizadas para que seus donos evitem o pagamento de impostos, guardando suas fortunas em paraísos fiscais.
O Panamá é um paraíso fiscal, e a Mossack Fonseca fez uso das baixas regulamentações de aplicação de capitais estrangeiros do país, para estabelecer seus contatos. A firma era usada por clientes com um grande volume de dinheiro que queriam abrir empresas no exterior de forma sigilosa, sem pagar imposto.
A revelação de quem são as pessoas por trás das empresas que guardam dinheiro com a Mossack Fonseca, então, é importantíssima. Os documentos obtidos pelos jornalistas envolvem 12 chefes de estado atuais e 60 parentes, além de personalidades que usavam a firma para ocultar patrimônio.
Foi descoberto, por exemplo, que o primeiro-ministro da Islândia, Sigmundur Gunnlaugsson, era dono de uma empresa que acumulava investimentos de sua esposa. Nesta semana, ele renunciou ao cargo. Outros políticos, como Vladimir Putin, presidente da Rússia, e Petro Poroshenko, presidente da Ucrânia, também estão envolvidos.
Com informações: Vox, Nexo Jornal.