Football Leaks

Football Leaks: "Credenciais tinham três carateres e a maioria eram SCP", diz administrador do Sporting

Pedro Nunes

Declarações de David Luís Tojal, administrador do sistema informático do Sporting, na 10.ª sessão do julgamento do processo do Football Leaks.

O administrador do sistema informático do Sporting reconheceu esta quarta-feira a fragilidade da rede interna do clube lisboeta, alvo do ataque imputado a Rui Pinto, considerando que as ferramentas para responder a esta situação "eram muito básicas".

Em declarações na 10.ª sessão do julgamento do processo Football Leaks, no Tribunal Central Criminal de Lisboa, David Luís Tojal revelou que, quando entrou para o clube de Alvalade, em 2010, "as credenciais tinham três carateres e a maioria eram SCP", uma informação que gerou algumas gargalhadas na sala de audiência.

"Sugerimos aumentar a complexidade para oito carateres. Isso foi feito, mas a própria administração do Sporting pediu para retirar porque era demasiado para a cabeça deles", contou a testemunha, acrescentando que passou o nível de complexidade mínimo para seis carateres: "Quando chegava um novo utilizador, tínhamos de criar conta e password, e muitas vezes a password era 'SCP123'. Pedíamos para alterar, mas muitos não mudavam a password".

Instado a descrever os contornos do ataque alegadamente realizado pelo criador do Football Leaks, o técnico informático do Sporting disse que só mais tarde é que identificou "atividade muito estranha" a partir de um acesso oriundo da Hungria, já depois de reportar "lentidão" no servidor, a disrupção e um "problema na base de dados dos e-mails" que deixou os utilizadores sem acesso. David Luís Tojal explicou que, então, a prioridade passou por reparar o sistema.

O problema não ficou resolvido internamente, nem com a intervenção de entidades externas, o que só foi possível com recurso a 'backups'. Esse processo de restabelecimento arrastou-se durante "dias ou semanas", até ser suspenso com a divulgação no Football Leaks do contrato do treinador Jorge Jesus, no final de setembro, o que levou o departamento informático a tentar perceber a origem da extração do documento.

"A partir do ataque deram liberdade e aumentámos a complexidade [de acesso ao sistema]", assumindo também que mesmo quando o sistema bloqueava, este bloqueio desaparecia ao fim de pouco tempo: "As ferramentas que tínhamos não eram as melhores, eram muito básicas".

Contas da direção e do departamento jurídico foram as mais afetadas

De acordo com a testemunha, que vai continuar a ser ouvida durante a tarde, as contas de elementos da "direção e do departamento jurídico foram as mais afetadas" pelo ataque.

Antes, houve lugar ao final da audição do especialista da Polícia Judiciária Afonso Rodrigues, que revelou que a disrupção do sistema do Sporting "teve 27.678 linhas de ataque" e que era necessário "algum trabalho prévio" do responsável, sublinhando ainda que a equipa informática do clube "não acautelou este tipo de situação".

A defesa do principal arguido do processo procurou desmontar a ideia de intenção de provocar o 'crash' do sistema, face ao facto de Afonso Rodrigues ter afirmado que essa situação teria sido causada por "ferramentas para testar vulnerabilidades" e não especificamente para 'deitar abaixo' a rede.

Por outro lado, os advogados de Rui Pinto -- que se mostrou particularmente ativo nesta fase, gesticulando por diversas vezes e levantando-se para dar indicações aos seus representantes - levaram a testemunha a admitir não conseguir precisar, com base no ficheiro de 'logs' ao sistema do clube do dia 29 de setembro de 2015, que ataque provocou a disrupção.

"Não consigo aferir subjetivamente qual era a intenção de quem fez o ataque", disse Afonso Rodrigues, que disse também ter analisado apenas este dia de registos e que não tinha conhecimento de mais alguém na Judiciária ter analisado 'logs' desta natureza.

O julgamento de Rui Pinto, criador do Football Leaks

Rui Pinto, de 31 anos, responde por um total de 90 crimes: 68 de acesso indevido, 14 de violação de correspondência, seis de acesso ilegítimo, visando entidades como o Sporting, a Doyen, a sociedade de advogados PLMJ, a Federação Portuguesa de Futebol (FPF) e a Procuradoria-Geral da República (PGR), e ainda por sabotagem informática à SAD do Sporting e por extorsão, na forma tentada. Este último crime diz respeito à Doyen e foi o que levou também à pronúncia do advogado Aníbal Pinto.

O criador do Football Leaks encontra-se em liberdade desde 07 de agosto, "devido à sua colaboração" com a Polícia Judiciária (PJ) e ao seu "sentido crítico", mas está, por questões de segurança, inserido no programa de proteção de testemunhas em local não revelado e sob proteção policial.