É falso que um hacker tenha atacado o sistema de votos do TSE (Tribunal Superior Eleitoral), como afirma um tuíte que viralizou neste domingo (29), dia do segundo turno das eleições. Nesse sábado, a PF (Polícia Federal) cumpriu quatro mandados de busca e apreensão em São Paulo, Minas Gerais e em Portugal contra programadores acusados de integrar o grupo hacker que vazou dados administrativos do TSE no primeiro turno das eleições de 2020. Os dados vazados eram da área de recursos humanos e os hackers não chegaram a invadir o sistema de apuração dos votos ou as urnas eletrônicas, de acordo com a Justiça Eleitoral, a PF e quatro especialistas em cibersegurança que, a pedido da reportagem, analisaram as informações vazadas no dia em que a falha de segurança se tornou pública.

Também não é verdade, conforme verificou o Comprova, que o sistema de votação brasileiro não seja seguro por não ter uma auditoria por meio de votos impressos. As urnas eletrônicas, a rede que transmite os votos e o programa que faz a totalização da votação de cada candidato têm uma série de mecanismos de segurança, como criptografias e chaves de segurança às quais apenas o TSE tem acesso. A Justiça Eleitoral também realiza auditorias das urnas eletrônicas em todos os estados, no primeiro e no segundo turno das eleições, com participações de fiscais dos partidos políticos, de representantes da sociedade civil e de qualquer cidadão interessado em acompanhá-las. Como o Comprova já mostrou, a impressão de um comprovante com os votos de cada eleitor foi considerada inconstitucional pelo STF (Supremo Tribunal Federal) porque poderia violar o sigilo do voto, que é definido como direito fundamental pela Constituição de 1988.

Dados administrativos

O TSE afirmou, ainda no dia 15 de novembro, data do primeiro turno, que o vazamento envolvia apenas dados administrativos do tribunal, com informações de funcionários e ex-ministro da Corte. As informações são referentes ao período de 2001 a 2010. A falha não comprometeu o sistema de votação, que funciona à parte e possui várias travas de segurança, inclusive utilizando chaves e criptografia. O ataque também não poderia afetar as urnas eletrônicas, que estavam recebendo o voto dos eleitores naquele momento, porque elas não são conectadas à internet.

Ainda no dia 15 de novembro, o Comprova pediu a quatro especialistas em cibersegurança que avaliassem os dados vazados para saber se eles poderiam comprometer o resultado das eleições. Todos foram unânimes em afirmar que o sistema de votos não foi afetado e que o ataque não violou a segurança da eleição. Foram ouvidos Paulo Lício de Geus, professor do Instituto de Computação e CIO da Universidade Estadual de Campinas (Unicamp) e representante da Sociedade Brasileira de Computação nos testes públicos de segurança do sistema eletrônico de votação do TSE; Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript; Thiago Tavares, presidente da SaferNet; e Márcio Correia, analista de sistemas da Universidade Federal do Ceará (UFC) e professor de Tecnologia de Informação da Faculdade Cearense (FaC).

Segurança

Desde o dia do primeiro turno da eleição, as informações iniciais passadas pelo ministro Luís Roberto Barroso eram de que o vazamento de dados havia partido de Portugal. O ministro da Justiça, André Mendonça, também afirmou, no dia da votação, que a Polícia Federal estava investigando o caso e não havia encontrado “qualquer indicativo de prejuízo ao pleito eleitoral”. Além de garantir que a falha de segurança não afetou o resultado das eleições por conta das medidas de proteção, o TSE também instituiu uma Comissão de Segurança Cibernética para trocar informações com a PF e acompanhar a apuração do caso.

As urnas eletrônicas possuem comandos que garantem que apenas softwares assinados digitalmente pelo TSE possam ser executados. Também são programadas barreiras de segurança que fazem com que tentativas de ataque ou de executar um software não autorizado bloqueiem o aparelho. O programa oficial do TSE também para automaticamente de ser executado caso alguém tente executá-lo em um hardware não certificado. Além disso, a urna não é conectada à internet. O sistema operacional instalado nela impede a conexão com qualquer rede ou acesso remoto.

As urnas passam por testes públicos em que especialistas tentam quebrar as barreiras de segurança. Em nenhuma das cinco edições (realizadas em 2009, 2012, 2016, 2017 e 2019) os programadores conseguiram quebrar o sigilo ou desvirtuar a destinação dos votos. Se houver qualquer suspeita em relação à autenticidade do software utilizado em qualquer aparelho, as assinaturas digitais também podem ser conferidas pela Justiça Eleitoral.

Por fim, o TSE realiza auditorias para testar a segurança e a lisura da votação. Os TREs (Tribunais Regionais Eleitorais) sorteiam ao menos seis urnas em cada turno da eleição. Em três delas são conferidos os sistemas instalados no equipamento. Fiscais da sociedade civil, de partidos políticos e cidadãos podem conferir se a assinatura digital que consta nas urnas é a mesma que foi lacrada anteriormente em uma cerimônia feita pela Justiça Eleitoral. Nas demais urnas, é feita uma votação paralela. Em um local público, com a participação de fiscais dos partidos políticos e de qualquer cidadão que tenha interesse em acompanhar, é feita uma votação simulada, em que os representantes dos partidos preenchem cédulas em papel e, depois, registram esses votos nas urnas. Ao final, as cédulas em papel são contadas para verificar se os votos batem com o boletim impresso ao final pela urna eletrônica.

O autor do post

A reportagem entrou em contato com o autor da postagem, um ex-agente da PRF (Polícia Rodoviária Federal) com atuação pró-Bolsonaro nas redes sociais. “Eu não disse que ela (a urna eletrônica) não é auditável. Eu disse que sem o voto impresso, não há segurança 100%. (…) Não é voltar ao sistema anterior, mas adicionar outra camada de segurança”, afirmou, defendendo a impressão do voto, medida declarada inconstitucional pelo Supremo Tribunal Federal por riscos de fraude e quebra de sigilo.

Logo após o contato do Comprova, o autor restringiu o acesso à publicação, que já havia sido curtida por mais de duas mil contas e compartilhada por quase 500.

Verificação

Em sua terceira fase, o Comprova verifica conteúdos suspeitos que tenham viralizado nas redes sociais sobre as eleições de 2020, a pandemia e as políticas públicas do governo federal. É o caso do tuíte verificado aqui, do perfil @pacefeco, que teve 2,2 mil interações nas redes sociais. Conteúdos sobre a eleição são importantes porque a desinformação pode afetar a credibilidade dos resultados das urnas.

Falso, para o Comprova, é o conteúdo inventado ou que tenha sofrido edições para mudar o seu significado original e divulgado de modo deliberado para espalhar uma mentira.