_Notas

27 de Setembro de 2022, 16h47

Responsável pelos SMS golpistas, Algar Telecom coloca a culpa em funcionário júnior

Empresa diz que perfil de analista de redes conseguiu acessar sistema, alterar senha de cliente, criar novo usuário e enviar mais de 300 mil mensagens.

27 de Setembro de 2022, 16h47

Pedidos de fechamento do STF se espalharam pelas ruas do país em atos pró-Bolsonaro no Dia da Independência.

Foto: FotoRua/Folhapress

A Algar Telecom, responsável pelo disparo do SMS golpista que partiu de um número usado por serviços públicos do governo do Paraná, acusa um funcionário júnior seu de ser culpado pelo caso. Na madrugada do último sábado, dia 24, moradores de Paraná, São Paulo e Santa Catarina receberam um SMS que dizia o seguinte: “Vai dar Bolsonaro no primeiro turno! Senao, vamos a rua para protestar! Vamos invadir o congresso e o STF! Presidente Bolsonaro conta com todos nos!!”.

Segundo a Celepar, empresa pública de tecnologia do governo do estado, 324.818 mensagens foram disparadas – a informação consta de documento enviado ao Tribunal Superior Eleitoral. Elas partiram do número 28523, usado por serviços públicos digitais do governo paranaense. O governador Ratinho Junior, do PSD, culpou uma “empresa terceirizada”, que em seguida identificou como a Algar Telecom. Disse, ainda, que registrou boletim de ocorrência, pois considera “ter sido vítima de um crime”.

Em resposta enviada à Celepar, a Algar diz que textualmente que o “usuário”, nomeado como um funcionário de 23 anos dela, foi usado para os disparos. Segundo o perfil no Linkedin, ele atua na empresa desde janeiro de 2021, onde começou como “assistente de suporte” e, em janeiro passado, se tornou “analista de telecom”. Tratam-se de cargos de nível júnior, em que o funcionário atendia a clientes e atuava como analista de redes – isto é, fazia suporte técnico.

Mas, segundo a Algar, ele tinha acesso suficiente aos sistemas para alterar a senha de acesso de um cliente (a Celepar) na noite de quarta-feira, 21 de setembro – sem que ninguém se desse conta disso. E, a partir daí, criar imediatamente um novo usuário (“presidente_Bolsonaro_mais_uma_vaz”) que usaria para efetuar disparos a milhares de usuários entre as 20h25 de sexta, dia 23, e as 00h41 de sábado. Novamente, sem que ninguém percebesse nem nenhum alerta soasse na Algar e na Celepar.

“O fato de identificar o funcionário não exime a Algar e Celepar da responsabilidade jurídica, pois são controladores e operadores de dados pessoais”, disse Rafael Zanatta, diretor da Data Privacy, entidade que entrou com uma representação no Ministério Público Eleitoral pedindo uma investigação sobre as mensagens. Disparos em massa sem consentimento dos usuários são proibidos desde 2021.

Ou seja, Algar e Celepar adotam uma proteção pífia de acesso a um sistema que guarda dados pessoais e sigilosos de milhares de paranaenses e moradores de outros estados. Por esse motivo, optamos, por ora, por omitir a identidade do funcionário cujo perfil de usuário efetuou os disparos, segundo a Algar. Também fizemos as seguintes perguntas à empresa (as respostas serão incluídas assim que as recebermos):

  • O cargo do acusado dava a ele as credenciais necessárias para efetuar os disparos no sistema?
  • Quantas pessoas têm acesso às credenciais para efetuar disparos do tipo?
  • Como é feita a verificação de segurança nesses acessos?

A Algar não respondeu as perguntas. Em vez disso, enviou a seguinte nota:

“A Algar Telecom esclarece que, nesta fase preliminar de investigações, ainda não é possível determinar o autor dos disparos, e sim a conta utilizada para os disparos indevidos. A companhia reforça que houve um acesso indevido e não autorizado à plataforma e que, desde a confirmação do ocorrido, registrou o fato perante as autoridades competentes, incluindo o registro às autoridades policiais para investigação e identificação do possível autor. Iniciou também uma análise interna com o apoio de consultores independentes e especializados”.

No processo que corre na Justiça Eleitoral, no entanto, a empresa informou à Celepar e ao TSE que o usuário de seu funcionário – identificado com nome e e-mail – realizou a troca de senha e disparou as mensagens, detalhando as datas, horários e IPs de onde foram realizados os envios.


Atualização: 27 de setembro, 15h45

O texto foi atualizado com a nota enviada pela Algar Telecom e ajustes em informações decorrentes dela.

Filters SVG