O seu IP: Desconhecido · O seu estado: ProtegidoDesprotegidoDesconhecido
Blog Notícias

Rui Pinto, o Football Leaks e Tudo o Que Precisa Saber Sobre Cibersegurança

O “futebol leaks” foi um site criado em setembro de 2015 por Rui Pinto, no qual o autor, à data completamente anónimo, se propunha “divulgar a parte oculta do futebol”. A missão era a de um projeto de “whistleblowing”: “Fundos, comissões, negociatas, tudo serve para enriquecer certos parasitas que se aproveitam do futebol, sugando totalmente clubes e jogadores”. O Football Leaks propunha-se trazer estas questões à luz do dia e servir como ponto de partida a eventuais investigações judiciais. O próprio nome do projeto era uma referência ao famoso Wikileaks, deixando a entender que seria um Wikileaks para o futebol.

Laura Klusaite

Laura Klusaite

Oct 26, 2020 · Leitura de 5 min

Rui Pinto, o Football Leaks e Tudo o Que Precisa Saber Sobre Cibersegurança

Futebol Leaks

Rui Pinto, nascido em 1988 e natural de Vila Nova de Gaia, havia morado em Budapeste enquanto estudante de História, ao abrigo do programa Erasmus, e regressou à capital da Hungria, lá morando permanentemente. Até ao momento não se conhecem outros promotores do projeto.

Nos anos seguintes, o Football Leaks publicou documentação relativa a transferências fraudulentas de jogadores, entre diversos clubes europeus. Surgiram consequências; o FC Twente foi banido por três anos das competições europeias, numa pena aplicada pela federação de futebol da Holanda, graças a informação veiculada pelo Football Leaks. O caso já havia sido notícia no New York Times.

Em 2016, a revista alemã Der Spiegel, juntamente com outros jornais europeus, divulgou informação relativa a casos de evasão fiscal por parte de jogadores que haviam sido divulgados pelo Football Leaks.

Contudo, o Football Leaks Portugal começou a gerar intensa polémica à medida que Rui Pinto começou a divulgar documentos relativos a alegados esquemas de corrupção e tráfico de influências, ao mais alto nível, que estariam a acontecer em Portugal. Rui Pinto acabou por ser detido na Hungria em janeiro de 2019 e posteriormente extraditado para Portugal, apesar da sua colaboração como denunciante com as autoridades policiais de diversos países europeus. Rui Pinto esteve em prisão preventiva cerca de 13 meses, entre março de 2019 e abril de 2020, estando a ser julgado por 90 crimes de “acesso ilegítimo, acesso indevido, violação de correspondência, sabotagem informática e tentativa de extorsão”, segundo o Desporto Sapo.

Luanda Leaks

O trabalho de Rui Pinto não se limitou ao futebol. O hacktivista foi o responsável pela entrega de dados sobre as atividades e a fortuna de Isabel dos Santos à Plataforma de Proteção de Denunciantes na África (PPLAAF). A situação provocou um pequeno terramoto político em Angola e em Portugal, com a queda do “império” da filha do ex-presidente angolano José Eduardo dos Santos.

Isabel dos Santos tem nacionalidade russa e encontra-se a residir naquele país, sendo certo que não será extraditada para Angola. De acordo com o Público, a empresária estava a tentar transferir dez milhões de euros para a Rússia, motivando um arresto de contas bancárias por parte da Justiça angolana.

É de salientar que Rui Pinto é um autodidata em matéria de hacking. Nem sequer se trata de um engenheiro informático ou de um profissional; trata-se de alguém que aprendeu, experimentou e implementou, com os seus próprios meios, técnicas que lhe permitiram derrubar Isabel dos Santos e criar um verdadeiro alvoroço no futebol europeu.

“Data leaks” e a importância da cibersegurança

Assim se compreende que ninguém esteja a salvo de ser objeto de um ataque por parte de um cibercriminoso. Certamente que os alvos de Rui Pinto eram apenas pessoas com elevados cargos ou responsabilidades, mas ele próprio é também apenas um pequeno exemplo do que pode acontecer. Equipas de “hackers” recorrendo a servidores próprios, software específico, facilidade na produção de malware com as mais diversas funcionalidades – tudo isso pode ser lançado em grande escala contra particulares e empresas. Assim a ciber-organização criminosa tenha os meios necessários.

As fugas de dados (“data leaks”) podem ser usadas de várias formas contra as vítimas. Desde o pedido de resgates (através de ransomware ou através de uma posterior tentativa de extorsão) até a atos baseados em informação secreta que a vítima tenha partilhado com terceiros. Mas podem tomar-se diversas medidas contra os hackers. Vejamos algumas.

Passwords seguras: o caso do Sporting

O julgamento de Rui Pinto tem dado a conhecer detalhes que vão do interessante ao caricato. Destacou-se o caso das passwords utilizadas por altos responsáveis do Sporting CP, relativas aos e-mails do próprio clube, que seriam compostas pelo nome da pessoa, seguido por “123”. O antigo responsável informático do Sporting, testemunha no processo, conta que quando começou a trabalhar no clube, em 2010, muitas passwords de e-mails eram simplesmente “SCP”, e que persuadiu os responsáveis a adotarem passwords mais seguras. De acordo com o Observador, que relatou este detalhe, a revelação das passwords “SCP” provocou gargalhadas na sala de audiências, incluindo do próprio Rui Pinto.

Terá sido bastante fácil a Rui Pinto, atuando por tentativa e erro (talvez sem mesmo recorrer a software específico para adivinhação de passwords), aceder aos e-mails do Sporting CP. Trata-se de um episódio instrutivo, recordando que passwords demasiado simples são um convite aos cibercriminosos.

Phishing: o caso da PLMJ

Também a sociedade de advogados PLMJ, uma das maiores do país, foi vítima de Rui Pinto; neste caso, através de uma manobra de phishing. O caso é igualmente caricato: uma das advogadas da sociedade recebeu um e-mail da Autoridade Tributária, do qual constava um ficheiro para download. Desconfiando que a Autoridade Tributária não envia ficheiros para download aos contribuintes, a advogada reencaminhou o e-mail para o técnico de informática que prestava serviço à empresa, para verificação.

Este, porém, e ao contrário da advogada sua cliente, não desconfiou de que se tratasse de phishing. Afirmou em tribunal, segundo a Sábado, que “Posso ter clicado no 'link'. E admito ter inserido as credenciais para prestar melhor apoio à utilizadora”. Soube mais tarde, pela Polícia Judiciária, que havia sido ele a conceder a Rui Pinto acesso total aos e-mails e ao sistema informático da PLMJ.

Verdadeiramente burlesco é o detalhe acrescentado pelo Desporto Sapo: este técnico de informática não tinha formação em segurança informática, pois tal “não era um requisito para as funções”. O técnico declarou em tribunal “não saber como se processa” a captação de credenciais através de “phishing.” Tratou-se de um caso típico de phishing por e-mail, que já descrevemos aqui.

Testes de revelação de DNS

Rui Pinto conseguiu acesso direto aos e-mails de várias organizações, mas existem outras formas de intercetar tráfego de internet. Uma delas passa por obter acesso a um servidor pelo qual passem as comunicações (e-mails, chats, ficheiros carregados ou descarregados, etc.) da vítima. Um teste de revelação de DNS ajuda a garantir que o computador não está ligado a um servidor comprometido.

Usar uma VPN

Instale uma VPN para aumentar a sua segurança e a privacidade a vários níveis. Os ataques de phishing encontrarão uma barreira adicional e terão menor probabilidade de serem bem sucedidos. A interceção de comunicações será também dificultada ou impossibilitada; todos os dados em trânsito (inerentes à conexão de internet) serão encriptados, tornando impossível decifrar o conteúdo de mensagens trocadas.