Football Leaks: ex-administrador do sistema informático do Sporting reconhece fragilidades
David Luís Tojal revelou que, quando entrou para o clube de Alvalade, em 2010, "as credenciais tinham três carateres e a maioria eram SCP", uma informação que gerou algumas gargalhadas na sala de audiência
Corpo do artigo
O ex-administrador do sistema informático do Sporting reconheceu esta quarta-feira a fragilidade da rede interna do clube lisboeta, alvo do ataque imputado a Rui Pinto, considerando que as ferramentas para responder a esta situação "eram muito básicas".
Em declarações na 10.ª sessão do julgamento do processo Football Leaks, no Tribunal Central Criminal de Lisboa, David Luís Tojal revelou que, quando entrou para o clube de Alvalade, em 2010, "as credenciais tinham três carateres e a maioria eram SCP", uma informação que gerou algumas gargalhadas na sala de audiência.
"Sugerimos aumentar a complexidade para oito carateres. Isso foi feito, mas a própria administração do Sporting pediu para retirar porque era demasiado para a cabeça deles", contou a testemunha, acrescentando que passou o nível de complexidade mínimo para seis carateres: "Quando chegava um novo utilizador, tínhamos de criar conta e password, e muitas vezes a password era "SCP123". Pedíamos para alterar, mas muitos não mudavam a password".
Instado a descrever os contornos do ataque alegadamente realizado pelo criador do Football Leaks, o técnico informático do Sporting disse que só mais tarde é que identificou "atividade muito estranha" a partir de um acesso oriundo da Hungria, já depois de reportar "lentidão" no servidor, a disrupção e um "problema na base de dados dos e-mails" que deixou os utilizadores sem acesso. David Luís Tojal explicou que, então, a prioridade passou por reparar o sistema.
O problema não ficou resolvido internamente, nem com a intervenção de entidades externas, o que só foi possível com recurso a "backups". Esse processo de restabelecimento arrastou-se durante "dias ou semanas", até ser suspenso com a divulgação no Football Leaks do contrato do treinador Jorge Jesus, no final de setembro, o que levou o departamento informático a tentar perceber a origem da extração do documento.
"A partir do ataque deram liberdade e aumentámos a complexidade [de acesso ao sistema]", assumindo também que mesmo quando o sistema bloqueava, este bloqueio desaparecia ao fim de pouco tempo: "As ferramentas que tínhamos não eram as melhores, eram muito básicas".
De acordo com a testemunha, que vai continuar a ser ouvida durante a tarde, as contas de elementos da "direção e do departamento jurídico foram as mais afetadas" pelo ataque.
Antes, houve lugar ao final da audição do especialista da Polícia Judiciária Afonso Rodrigues, que revelou que a disrupção do sistema do Sporting "teve 27.678 linhas de ataque" e que era necessário "algum trabalho prévio" do responsável, sublinhando ainda que a equipa informática do clube "não acautelou este tipo de situação".
A defesa do principal arguido do processo procurou desmontar a ideia de intenção de provocar o "crash" do sistema, face ao facto de Afonso Rodrigues ter afirmado que essa situação teria sido causada por "ferramentas para testar vulnerabilidades" e não especificamente para "deitar abaixo" a rede.
Por outro lado, os advogados de Rui Pinto - que se mostrou particularmente ativo nesta fase, gesticulando por diversas vezes e levantando-se para dar indicações aos seus representantes - levaram a testemunha a admitir não conseguir precisar, com base no ficheiro de "logs" ao sistema do clube do dia 29 de setembro de 2015, que ataque provocou a disrupção.
"Não consigo aferir subjetivamente qual era a intenção de quem fez o ataque", disse Afonso Rodrigues, que disse também ter analisado apenas este dia de registos e que não tinha conhecimento de mais alguém na Judiciária ter analisado "logs" desta natureza.