TODOS OS ALVOS DE RUI PINTO
Presidência da República e Ministérios. Clubes de futebol e escritórios de advogados de todo o mundo. Empresas e uma igreja. Ninguém escapou a Rui Pinto. Em apenas um dos vários dispositivos que lhe foram apreendidos, a PJ encontrou 488 contas de email que não lhe pertenciam. E ficheiros escritos – mas também áudio e vídeo – com anotações e instruções sobre como aceder aos sistemas informáticos de centenas de entidades.
Rui Pinto será o responsável pela maior e mais longa operação de intrusão informática e exfiltração de dados confidenciais da história de Portugal – e uma das maiores do mundo. Entre 2015 e 2019, o pirata informático acedeu a servidores e emails de mais de 130 entidades, públicas e privadas de todo o mundo, num total de vítimas que, para já, ultrapassa as 500 pessoas. Mais: esta contabilidade, feita pela SÁBADO através da consulta do exame forense aos equipamentos apreendidos ao hacker na Hungria, baseia-se na análise de apenas dois dos 12 dispositivos informáticos de armazenamento de dados encontrados na posse de Rui Pinto. Faltam ainda desencriptar mais nove memórias externas e fazer o relatório sobre o que foi encontrado no computador pessoal de Rui Pinto, ao qual a Polícia Judiciária (PJ) já conseguiu aceder.
Se nos primeiros tempos estas intrusões se centraram em entidades relacionadas com o futebol profissional – agentes, clubes ou advogados responsáveis pelas transferências e gestão das finanças pessoais de jogadores – e os respetivos documentos divulgados no Football Leaks, com o passar do tempo Rui Pinto começou a entrar nos sistemas informáticos de ministérios portugueses, de empresas nacionais e internacionais, de entidades relacionadas com a justiça e a segurança interna e, segundo o auto de exame forense elaborado pela PJ, também na Presidência da República. A referência à Presidência é uma das mais breves de todas as que se encontram no documento de 233 páginas apenso ao processo no qual Rui Pinto foi acusado de 147 crimes relacionados com a extorsão e intrusão na Doyen Sports Investment, no Sporting, na Procuradoria-Geral da República, na sociedade de advogados PLMJ e ainda na Federação Portuguesa de Futebol. Ela surge na análise a um de vários ficheiros de texto encontrados, que foram preenchidos pelo hacker ao longo do tempo, com informações “acerca de entidades portuguesas e estrangeiras, tais como plataformas de intranet, redes privadas virtuais, certificados de segurança, credenciais de utilizadores e palavras-chave, plataformas de correio eletrónico e plataformas de partilha de ficheiros”. Um desses ficheiros, com 61 páginas, tem informação sobre a “Procuradoria-Geral da República, Câmara Municipal de Lisboa, PLMJ, VdA [ambas sociedades de advogados], IGFEJ [Instituto de Gestão Financeira e Equipamentos de Justiça], Federação Portuguesa de Futebol, Presidência da República, entre outros”.
O disco-chave
A análise forense da PJ começa por descrever cada um dos 30 objetos – dispositivos eletrónicos e documentos em papel – apreendidos a Rui Pinto no apartamento onde vivia, em Budapeste e que tinham capacidade para arquivar informação superior a 23 terabytes, sem contar com “o computador pessoal do arguido, smartphones e memórias flash [pen drives]”, escreveu o examinador José Amador. Cinco itens ficaram automaticamente fora do exame: vários cabos, papéis manuscritos, duas portas de USB e uma caixa para ver vídeos e fotografias na televisão. Dos restantes, nove eram discos de memória externa que estão cifrados e aos quais as autoridades não conseguiram ainda aceder e 10 – que incluíam telemóveis – foram considerados sem interesse para a investigação. Restaram o computador pessoal – cuja password a PJ já decifrou, mas cuja análise não estava terminada na data-limite para a conclusão deste relatório – algumas pens e dois discos externos. E foi num destes dispositivos que o MP encontrou a maioria da informação que permitiu acusar o pirata informático e extrair uma certidão para abrir um novo inquérito.
O exame começou com a cópia forense desse disco, marca Western Digital, com capacidade para um terabyte. Um processo que demorou 7h16: teve início às 17h33 de 22 de março e terminou às 0h47 do dia seguinte. Lá dentro estava a cópia do sistema operativo de um computador Macintosh, que continha inúmeros programas utilizados para descobrir passwords, encriptar ficheiros e sondar os sistemas informáticos dos alvos (ver caixa).
Analisá-lo é como ver a evolução das capacidades de Rui Pinto. Se no início o hacker procurava passwords
de funcionários de instituições como a PJ, a Abreu Advogados, a FPF ou a Autoridade Tributária em grandes fugas de informação divulgadas na Internet por outros hackers,
aos poucos começou a realizar o que são consideradas ações ofensivas. Primeiro a analisar os alvos dos ataques e a descobrir vulnerabilidades, para conseguir “retirar informação dos serviços e ganhar controlo sobre os sistemas-alvos”. Depois a levar a cabo esquemas de phishing e mais tarde a estabelecer ligações seguras e diretas com os servidores que decidiu atacar através de máquinas virtuais. O ficheiro que menciona a Presidência da República tem ainda informação, por exemplo, sobre o Ministério da Justiça (MJ). Aí, escreve o inspetor José Amador, encontram-se as instruções internas dos informáticos
UM FICHEIRO DE 61 PÁGINAS TEM INFORMAÇÕES SOBRE A PGR, CM DE LISBOA E PRESIDÊNCIA DA REPÚBLICA
Q do MJ para configurar e utilizar corretamente o CITIUS – o portal onde estão registados os autos da justiça portuguesa e ao qual só é possível aceder com credenciais. Há também uma lista com os endereços de email e as senhas de procuradores (Maria José Morgado, Fernanda Pêgo, entre muitos outros) e juízes (Carlos Alexandre, por exemplo). Para além desse ficheiro, as autoridades localizaram ainda outros 55 com notas pessoais. Entre eles estão apontamentos que descrevem a forma de acesso à plataforma de correio eletrónico do Sporting e formas de exfiltrar dados ilicitamente – um desses ficheiros tem 171 páginas consideradas relevantes pela polícia – bem como os emails e as passwords de 16 funcionários.
Os ataques seletivos
Muitos destes dados foram obtidos através de phishing. Uma técnica em que o hacker cria uma página em tudo semelhante à original mas que, assim que alguém insere os seus dados de acesso, essas credenciais são automaticamente enviadas para um site onde o pirata mais tarde as pode ir buscar. Essas páginas falsas podem ser as de entrada no email, numa drop box ou numa rede social. De acordo com o relatório da PJ, foi isso que se passou na Procuradoria-Geral da República, na Federação Portuguesa de Futebol e na Rede Nacional de Segurança Interna.
Terá sido desta forma que Rui Pinto conseguiu reunir um “acervo de ficheiros de dimensões consideráveis” – com texto, áudio e vídeo – pertencentes a “uma miríade de pessoas individuais e coletivas, espalhadas pela geografia mundial e relacionadas com as mais distintas áreas de interesse e atividade”. Contudo, neste relatório os inspetores optaram por referir apenas os ficheiros que dizem respeito às entidades mencionadas na acusação: Sporting (40 ficheiros), Doyen (262), FPF (32), PGR (114, incluindo uma base de dados com os nomes, telemóveis, emails e data de nascimento de 1.942 magistrados do MP), PLMJ (1.369) e Autoridade Tributária (67). Contudo, o que mais surpreendeu os inspetores da PJ foi a análise à aplicação de correio eletrónico do sistema operativo do disco externo: perceberam que Rui Pinto teve configuradas 488 contas de email que não lhe pertenciam.
A lista é uma espécie de quem é quem do direito desportivo e dos protagonistas das principais transferências de jogadores do futebol mundial. No fundo, o que se percebe é que o pirata informático dirigia os seus ataques a elementos-chave dos clubes e de outras sociedades. Na lista destes emails está, por exemplo, toda a estrutura dirigente do Benfica: Luís Filipe Vieira, Domingos Soares de Oliveira, José Eduardo Moniz, Paulo Gonçalves e Rui Costa. No que respeita ao FC Porto, estão lá o treinador Sérgio Conceição, o diretor do departamento jurídico Nuno Santos Rocha, o oficial de ligação com os adeptos Fernando Saul, ou o scouter Carlos Silva. Em paralelo, Rui Pinto entrou também nos vários
emails da ex-mulher de Pinto da Costa, Fernanda Miranda.
O hacker teve também acesso às informações dos maiores clubes mundiais. Conseguiu entrar no email do administrador do AC Milan, Giovanni Amodio, do Chief Financial Officer (CFO) do Inter de Milão, Tim Williams ou do administrador da Juventus, Fabio Tucci. A lista inclui também o diretor jurídico do Mónaco, Daniel Bique ou CFO do Paris Saint-Germain, Benoit Le Sech. Em Espanha, nenhum dos principais clubes escapou. O alvo principal foi o Real Madrid: Rui Pinto entrou nos
emails do diretor-geral, José Ángel Sánchez, do diretor do departamento jurídico, Javier López Farré, do assessor de Florentino Pérez, Juan Camilo Andrade e do médico da equipa principal, Niko Mihic. No Barcelona entrou em cinco emails identificados por números – portanto não foi possível apurar a identidade das vítimas – e recolheu dados do secretário da equipa, Carlos Naval e de vários responsáveis do departamento médico como o fisioterapeuta Vicenz Garcia ou do médico Daniel Moll. No Atlético de Madrid houve 19 emails pirateados: entre eles estão o conselheiro delegado, Miguel Ángel Gil e a sua secretária, Beatriz Lozano, o gerente Clemente Villaverde e a analista financeira, Virginia Carnicero.
Já no Reino Unido foi hackeado o conselheiro jurídico do Chelsea, Robert Hamblin, o administrador do Manchester City, Andrew Hardman, ou a diretora para o futebol Rebecca Caplehorn. A lista inclui ainda res
ponsáveis de clubes do Brasil, da Holanda, Bélgica e Turquia.
Os alvos estenderam-se às várias federações e organizações do futebol mundial (ver info), mas, sobretudo, a escritórios de advogados que lidam com os negócios dos clubes e dos principais atletas mundiais. Os advogados de Cristiano Ronaldo foram dos principais alvos. Não só Carlos Osório de Castro viu os seus emails devassados, como também José António Choclán, o responsável pela defesa do capitão da seleção portuguesa no processo fiscal que correu em Espanha, viu o email da sua secretária ser alvo de pirataria: ou seja, o hacker poderá ter seguido em tempo real tudo o que se passava no processo, uma vez que a documentação circulava por email. Num dos telemóveis apreendidos a Rui Pinto, a PJ encontrou, por exemplo, a queixa do fisco espanhol contra Ronaldo. Na extensa lista há juristas de Portugal (PLMJ, Abreu, VdA, Vaz Serra, CCA e muitos outros), mas também do Reino Unido, Turquia, Brasil, Dubai, Espanha, Suíça, Alemanha, Senegal e China. Em comum têm todos o facto de reunirem alguns dos maiores especialistas em direito desportivo dos seus países.
Os novos alvos
No entanto, a partir de certa altura, o hacker dedicou-se também a recolher informação sobre empresas do universo de Isabel dos Santos, da mulher do angolano Álvaro Sobrinho, da IURD, da Promovalor (empresa de Luís Filipe Vieira), do presidente da Câmara de Cascais, Carlos Carreiras, da Fosun ou da China Fortune Land Development. Através da informação localizada nesse disco rígido, os investigadores acreditam ainda ter encontrado provas de que Rui Pinto foi o criador do blogue Mercado de Benfica que, em dezembro de 2017 começou a divulgar a correspondência interna do clube da Luz. Essa convicção baseia-se num conjunto de ficheiros que são apenas guardados quando alguém é administrador de uma página e também na informação contida num ficheiro de texto: usernames e passwords de acesso às plataformas onde o blogue esteve alojado. Para além disso, a PJ percebeu também que Rui Pinto utilizava uma forma mais sofisticada de acesso a sistemas informáticos. O pirata recorria a uma máquina virtual, uma espécie de computador virtual que funciona dentro do computador no qual se está a trabalhar. Através dessa plataforma é possível usar diferentes sistemas operativos e camuflar a sua ação mais facilmente. Ao todo, foram encontradas 15 placas de rede virtuais que Rui Pinto usava para se ligar à rede interna de entidades como a IGFEJ, o Manchester City, o Ministério das Finanças, o AS Monaco, a PGR, a FPF, entre outros. Os acessos começaram em dezembro de 2016 e terminaram a 6 de janeiro de 2019 – poucos dias antes de ser detido na Hungria.
A defesa quer provas invalidadas
Pelo menos para já, a defesa de Rui Pinto não contestou o conteúdo dos documentos apreendidos nos dispositivos do criador do Football Leaks. O advogado Francisco Teixeira da Mota optou, isso sim, por pedir a nulidade de todas as provas recolhidas. Na base deste requerimento está a forma e as condições em que os equipamentos de Rui Pinto chegaram a Portugal: ao abrirem o saco onde estariam todas as provas, os inspetores da PJ e os magistrados do MP verificaram que, para além de faltarem dois sacos, os selos que tinham sido colocados nos equipamentos tinham sido violados.
O MP, através da procuradora Patrícia Barão, pediu então explicações às autoridades húngaras que (de acordo com a documentação disponível no processo) justificaram a reabertura com um pedido de cópias que tinha chegado a Budapeste vindo do MP francês – que tem a correr em Paris um processo por fraude fiscal e branqueamento de capitais. Como os equipamentos tinham sido selados, tiveram de ser reabertos para realizar essa cópia antes da entrega às autoridades portuguesas. Garantiram também que tinham seguido todos os procedimentos de segurança. Quanto aos dois sacos que faltavam, explicaram que tinham ficado esquecidos na esquadra: tratava-se de um saco com cabos de ligação e outro com dois papéis manuscritos por Rui Pinto.
Depois de analisar o requerimento de Teixeira da Mota e a resposta do MP, a juíza de instrução criminal encarregada do caso indeferiu o processo. No entanto, o advogado já recorreu para o Tribunal da Relação e está a aguardar decisão. Se lhe derem razão, todas as provas consideradas válidas no processo em que o pirata informático foi acusado – e as que já levaram à abertura de um novo inquérito – serão anuladas. ◯
O HACKER ENTROU NO EMAIL DO DIRETOR-GERAL DO REAL MADRID E DE VÁRIOS ADVOGADOS DE RONALDO