Conteúdo verificado: Tuíte diz que Justiça Eleitoral pode aproveitar números de abstenção para fabricar votos e que ataque hacker seria prova de fraude.
É falsa a publicação no Twitter afirmando ser possível às autoridades eleitorais transformarem as justificativas dos eleitores ausentes dos seus domicílios eleitorais em votos válidos. A afirmação do jornalista Oswaldo Eustáquio e da ex-deputada federal Cristiane Brasil (PTB) relaciona o suposto vazamento de dados administrativos do Tribunal Superior Eleitoral (TSE) à “descoberta” de que votos e justificativas são registrados em separado — informação, aliás, que é pública.
De acordo com o tribunal, os votos do dia da eleição e as justificativas de abstenções são registrados no mesmo banco de dados, mas são arquivos diferentes. Todas essas informações, seja qual for o arquivo, vão para o Cadastro Nacional de Eleitores.
Além disso, o vazamento de dados por um ataque hacker que, segundo os autores, comprovaria a tentativa de fraude, não seria capaz de alterar os resultados da eleição, conforme quatro especialistas em cibersegurança ouvidos pelo Comprova.
Como verificamos?
Para verificarmos se havia alguma possibilidade de justificativas de ausência serem computadas como votos, consultamos o TSE, que emitiu nota de esclarecimento detalhando os fluxos desse processo.
Para comentar o conteúdo do ataque dos hackers, entrevistamos Fernando Amatte, diretor de Inteligência da Cipher, empresa de consultoria de segurança da informação, e fontes ouvidas para uma verificação publicada mais cedo no domingo de eleições. Foram elas: Thiago Tavares, presidente da SaferNet, Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE, Márcio Correia, analista de sistemas da Universidade Federal do Ceará (UFC) e professor de Tecnologia de Informação da Faculdade Cearense (FaC), e Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da empresa Deepcript Segurança Digital.
Também dessa verificação utilizamos as afirmações do responsável pelo grupo que vazou os dados do TSE. Por fim, o Comprova procurou Cristiane Brasil e Oswaldo Eustáquio.
Esta verificação foi feita em conjunto com Aos Fatos.
Verificação
A origem da acusação
Dois dias antes da votação de 2020, Cristiane Brasil deu uma entrevista para Oswaldo Eustáquio e levantou suspeitas sobre o modo como é feita a justificativa dos votos. Com base numa experiência pessoal, Cristiane disse que, quando uma pessoa justifica não ter votado, esse registro leva um mês para ser computado pela Justiça Eleitoral porque as informações sobre a apuração dos votos e a da justificativa eleitoral ficam salvas em banco de dados diferentes. Sem apresentar provas, ela diz, então, que isso abriria brecha para que inventassem votos equivalentes à quantidade de pessoas que decidiram se abster. Segundo Cristiane, várias pessoas do Nordeste se mudam para o Sudeste, mas mantêm o seu título no Estado de origem, disse ela, também sem apresentar provas.
No Twitter, após um grupo de hackers divulgar dados do TSE não relacionados à apuração das eleições, Oswaldo escreveu que a existência de dois bancos de dados diferentes permitiria que se “descarregasse na esquerda” os votos de quem vai justificar. Ele faz tal afirmação sem apresentar qualquer evidência.
Justificativas não podem ser computadas como votos
Por volta das 20h de domingo (15), o TSE divulgou nota de esclarecimento explicando que os arquivos gerados pelos votos são gravados na urna eletrônica de forma separada dos arquivos de justificativa. Desta forma, não haveria como justificativas serem computadas como votos.
Além disso, o tribunal lembra que há uma razão bastante simples para que justificativas eleitorais não sejam computadas como votos: “O eleitor que justifica a ausência nas eleições, obviamente, não vota. Assim, não há votos a serem 'descarregados' a quem quer que seja” .
Segundo o TSE, “a urna eletrônica só computa os votos que foram efetivamente recebidos, digitados por quem compareceu à seção eleitoral e teve o seu acesso liberado após a identificação pelos mesários”.
“Da mesma forma, o Cadastro Nacional de Eleitores é atualizado com a informação de que o eleitor fez sua justificativa. Nesse sentido, havendo justificativa de ausência às urnas e votação ao mesmo tempo, a situação é facilmente identificada e a Corregedoria-Geral da Justiça Eleitoral — em seu papel de fiscal do cadastro — pode adotar medidas de apuração quanto ao fato”, afirma o tribunal.
Banco de dados é um só
O tribunal diz ainda que “não há separação de banco de dados em relação aos votos, abstenções e justificativas”.
“Todas essas informações são tratadas em um mesmo sistema de totalização, devidamente auditado e com assinaturas digitais lacradas em audiência pública com a participação de partidos políticos, Ministério Público e Ordem dos Advogados do Brasil”, afirma o TSE. “É importante lembrar que toda urna eletrônica emite um boletim de urna com os votos coletados ao longo do dia. Assim, eventual tentativa de alteração de banco de dados seria rapidamente identificada com uma simples conferência do Boletim de Urna, que é impresso e entregue a representantes de partidos políticos presentes nos locais de votação e disponibilizado posteriormente na internet.”
No dia da eleição, quem não estiver no seu local de votação pode justificar a ausência pelo aplicativo e-Título ou pelo formulário de Requerimento de Justificativa Eleitoral (RJE), informa o TSE em seu site. O formulário de RJE pode ser obtido on-line ou nos locais de votação, e deve ser entregue também nos locais de votação.
Quem não justificou a ausência no dia da eleição pode fazê-lo em até 60 dias após cada turno de votação, entregando o RJE presencialmente em uma zona eleitoral ou usando o Sistema Justifica, que permite a entrega do RJE pela internet.
Ataque de hackers
Neste domingo, um grupo de hackers disse ter obtido dados do TSE. Eles afirmam ter acessado “sete arquivos com dados de utilizador de diferentes sistemas”. Segundo eles, isso significaria que os sistemas do Tribunal tiveram as credenciais comprometidas.
O Comprova entrevistou Fernando Amatte, diretor de Inteligência da Cipher, empresa de consultoria de segurança da informação. Segundo ele, o link divulgado pelos hackers traz “várias tabelas de um banco de dados”. De acordo com ele, entre as informações vazadas há registros sobre auxílio farmácia, atestado, afastamentos, benefícios e rotina de cálculo de aposentadoria, o que leva a crer se tratar de um banco de dados da área de recursos humanos.
Thiago Tavares, presidente da SaferNet, associação que promove a defesa dos direitos humanos na internet, tem a mesma opinião.
— A invasão se limitou a um servidor que hospedava informações do sistema de Recursos Humanos do tribunal — explicou ele, conforme outra verificação do Comprova e da agência Aos Fatos publicada no domingo.
Sobre a data em que os dados foram coletados, Amatte diz que não é possível determiná-la com as informações do link:
— É prática comum de criminosos pegar uma informação em um determinado dia e requentar quando eles acham ser interessante, mas, a partir desses dados que temos aqui, não tenho como falar qual é a data.
Em uma coletiva de imprensa neste domingo, o presidente do TSE, ministro Luís Roberto Barroso, garantiu que “nada ocorreu hoje, nem tampouco nos últimos dias relativamente a ataques”, e disse ter “muitas razões para supor que estas informações vazadas se refiram a ataques antigos”. Um desses indícios é que os e-mails que aparecem no material divulgado têm o final “.gov”, embora há bastante tempo o TSE use a extensão “.tse.br”. Outro é que os servidores que tiveram os seus nomes listados são antigos funcionários da Justiça Eleitoral.
Horas depois, durante a divulgação, Barroso voltou a comentar o fato, acrescentando mais detalhes:
— Esse sistema de onde se teriam extraído esses dados dos velhos funcionários é um sistema antigo e que não tem nenhuma relação com os servidores onde são processados os dados do sistema eleitoral.
Também diferentemente do que os hackers afirmam, não é possível ligar os dados à insegurança das urnas eletrônicas, pois são sistemas diferentes, separados.
— São dados pessoais de saúde, de idade das pessoas. Pelas características dos dados, fica claro que não tem nada a ver com o sistema de votação eletrônico, que é totalmente diferente. É como se aqui na Unicamp você conseguisse acesso aos dados de recursos humanos. Mas a nossa base de dados de pesquisa está salva em outro lugar — completa o professor Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE.
Além disso, as urnas são aparelhos que funcionam sem nenhuma conexão com a internet. Só depois que a votação termina, quando o boletim de urna é impresso, é que a memória em que os votos são salvos é conectada a um sistema para que os votos sejam totalizados pela Justiça Eleitoral. Um sistema de criptografia impede que dados falsos sejam inseridos no momento em que os votos são somados. As várias cópias do boletim de urna, registradas em cartório, permitem que o resultado seja auditado, se necessário.
Márcio Correia, analista de sistemas da Universidade Federal do Ceará e professor de Tecnologia de Informação da Faculdade Cearense, também disse se tratar de arquivos que não são relacionados à votação.
— O hacker mostrar que teve acesso a esses arquivos administrativos e de configurações dos sites do TRE e TSE não significa nada e não tem força alguma para colocar em dúvida a segurança da votação, apesar de não ser interessante que tenha havido essa brecha de segurança no site do TSE, ainda que pequena — avalia o professor, que já foi convidado para testar a segurança do sistema.
— Os bancos de dados das eleições são outros, alheios aos dos sites. Dizer que uma coisa está relacionada à outra é especular sem provas. Os IPs expostos pertencem unicamente aos sites — reforça Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript.
Em contato com a reportagem via Facebook, o grupo que vazou os dados do TSE, CyberTeam, afirmou que o ataque é de hoje e que “não explorou o TSE por completo”. “Só me foquei em reunir os dados de utilizador”, afirmou a pessoa, identificada como Zambrius. O Twitter retirou a página do ar.
À noite, o ministro Barroso afirmou que a Polícia Federal (PF) já apurou o vazamento e descobriu que o ataque não ocorreu hoje.
— O que a PF apurou é que esse vazamento ocorreu anteriormente a 23 de outubro passado e provavelmente se refere a fatos bastante pretéritos, porque as informações que foram vazadas são informações entre 2001 e 2010, e absolutamente irrelevantes. O que vazou foram informações administrativas sobre ministros aposentados e sobre antigos funcionários do TSE. (Um vazamento) sem qualquer consequência para o processo eleitoral — afirmou o ministro.
Cristiane Brasil
O Comprova entrou em contato por telefone com Cristiane Brasil para falar sobre o post de Oswaldo Eustáquio compartilhado por ela no Twitter. Questionada sobre como obteve informações sobre a suposta fraude na apuração dos votos, Cristiane alegou que estava dentro do Tribunal Regional Eleitoral do Rio de Janeiro (TRE-RJ), na condição de presidente do PTB-RJ, e que a falha aconteceria na retirada do flash card (cartão de memória com registro eletrônico dos votos da urna) — sem, no entanto, ter presenciado alguma falha onde se encontrava.
— Se eles (TRE) não têm condição de garantir a estabilidade do sistema porque estão sendo frequentemente invadidos por hackers, eles não têm condição de tocar o processo eleitoral sozinhos — afirmou.
Segundo o TSE, a lentidão na divulgação dos resultados não aconteceu por ataques de hackers, e sim por atraso no processamento dos dados no sistema central, em Brasília.
Procurado por meio do Twitter, Oswaldo Eustáquio não respondeu até a publicação desta verificação.
Por que investigamos?
Em sua terceira fase, o Projeto Comprova verifica conteúdos que viralizam nas redes sociais ligados às eleições municipais, às políticas públicas do governo federal e à pandemia.
Ao questionar a lisura do processo eleitoral, Cristiane Brasil e Oswaldo Eustáquio, apoiadores de Jair Bolsonaro (sem partido), seguem a campanha que o presidente vem fazendo desde antes de ser eleito, colocando em dúvida o sistema de urnas eletrônicas. Os autores dos posts colocam em risco a confiança dos brasileiros nos resultados das eleições e, por consequência, na democracia. Só o tuíte de Eustáquio teve 2,8 mil repostagens e quase 10 mil curtidas até 15 de novembro.
Ainda neste domingo, o Comprova verificou, em parceria com a agência Aos Fatos, que um ataque de hackers no sistema do TSE não viola a segurança da eleição e, recentemente, mostrou que um recente ataque hacker ao STJ não podia ser visto como sinal de ameaça à segurança das eleições, que o sistema de voto eletrônico brasileiro pode ser auditado, ao contrário do que afirmava um post nas redes sociais, e que a empresa que forneceu urnas para as eleições na Venezuela nunca vendeu seus aparelhos para o Brasil.
Falso, para o Comprova, é o conteúdo inventado ou que tenha sofrido edições para mudar o seu conteúdo original e divulgado de modo deliberado para espalhar uma mentira.
Projeto Comprova
Depois de um período especial de 75 dias dedicado exclusivamente à verificação de conteúdos suspeitos sobre o coronavírus e a covid-19, o Projeto Comprova começou em 10 de junho a terceira fase de suas operações de combate à desinformação e a conteúdos enganosos na internet. O objetivo da iniciativa é expandir a disseminação das informações verdadeiras.
Nesta terceira etapa, o Comprova retoma o monitoramento e a verificação de conteúdos suspeitos sobre políticas públicas do governo federal e eleições municipais, além de continuar investigando boatos sobre a pandemia de covid-19. Fazem parte da coalizão do Comprova veículos impressos, de rádio, de TV e digitais de grande alcance.
Este conteúdo foi investigado por Aos Fatos, Folha, Jornal do Commércio, Marco Zero Conteúdo e O Povo verificado por Coletivo Niara, Diário do Nordeste, Estadão, GZH, Jornal Correio, Piauí, Rádio Band News FM e SBT.
É possível enviar sugestões de conteúdos duvidosos e que podem ser verificados por meio do site e por WhatsApp (11 97795-0022). GZH publicará conteúdos checados pela iniciativa. O Comprova tem patrocínio de Google News Initiative (GNI), Facebook Journalism Project, First Draft News e WhatsApp e apoio da Fundação Armando Alvares Penteado (FAAP). A coordenação é da Associação Brasileira de Jornalismo Investigativo (Abraji).
