Программист Вальтер Дельгатти Нето, известный как хакер Vaza Jato, сумел выдать фальшивый ордер на арест министра Федерального верховного суда (STF) Александра де Мораеса. Для этого он воспользовался ошибкой на GitHub для доступа к Национальному банку ордеров на арест (BNMP) и нескольким нарушениям кибербезопасности Национального совета юстиции (CNJ).
Для тех, кто торопится:
- Программист Уолтер Дельгатти Нето, известный как хакер «Ваза Джато», в своем заявлении подробно описал шаг за шагом свое вторжение в систему правосудия;
- Хакер выдал ложный ордер на арест министра Федерального верховного суда (STF) Александра де Мораеса в дополнение к 11 разрешениям на освобождение в пользу боевиков-болсонаристов;
- В своих показаниях Нето сказал, что он использовал ошибку на GitHub и несколько нарушений кибербезопасности Национального совета юстиции (CNJ).
По крайней мере, так заявил хакер в заявлении от 2 августа, согласно сообщению в газете Folha de S. Paulo, опубликованному во вторник (15).
Читать далее:
- Что вы можете узнать о цифровой безопасности из «Vaza Jato»?
- Проверка безопасности: как прекратить обмен данными на iPhone
- 5 советов по безопасности, чтобы избежать мошенничества с WhatsApp
Министр Александр де Мораес оценил в решении STF, что отчет Дельгатти соответствует экспертизе и расследованиям, проведенным Федеральной полицией.
Серверы были слишком уверены, что система не будет взломана.
Выдержка из показаний Вальтера Дельгатти Нето, программиста, известного как хакер «Ваза Ято».
Программист ввел в систему фальшивые документы в период с сентября 2022 года по январь 2023 года. Помимо ордера на арест Мораеса, 4 января CNJ обнаружил 11 разрешений на освобождение в пользу боевиков-болсонаристов, все выданные программистом.
хакер шаг за шагом
(Изображение: Педро Спадони/Digital Look)
Программист начал свое вторжение через репозиторий CNJ на GitHub. Эта платформа содержит фрагменты вычислительного кода для коллективной разработки программного обеспечения.
На этой платформе хакер нашел файлы с названием «секреты». Они содержали ключи доступа и токены к системам CNJ.
Помимо GitHub, CNJ размещает свои коды на GitLab, конкурирующей платформе, в соответствии со своей политикой прозрачности.
По этой причине Нето искал способ получить доступ к репозиторию проекта CNJ на GitLab, для чего требуется имя пользователя и пароль. Именно там он получил доступ к программному редактору кода робота. Через него хакер «построчно» проанализировал системы правосудия.
(Изображение: Хиль Феррейра/Agência CNJ)
Нето сказал, что как минимум одна из систем CNJ не обновлялась два года. Благодаря этим лазейкам хакер в течение трех месяцев следил за разговорами с технических серверов по внутреннему каналу.
Затем он получил логин и пароль от инженера-программиста CNJ. Те же ключевые слова работали во внутренней сети совета, где также отсутствовала двухфакторная проверка.
Этот, скажем так, маневр дал Дельгатти доступ ко всем паролям базы данных. Следующим шагом было получение доступа к учетной записи консультанта по информационным технологиям Эленилсон Педро Кьярапа в системе контроля доступа, которая аккредитует разрешения для других систем.
Наконец, Дельгатти создал фальшивую учетную запись с разрешения магистрата в BNMP и Sisbajud, системе, которая отправляет судебные приказы.
Пробелы в системах
В 2021 году CNJ учредил Национальную стратегию кибербезопасности для судебных органов. Однако ошибки, указанные хакером в своем заявлении, указывают на несогласие с этой стратегией.
После хакерской «атаки» CNJ отозвал пароли доступа ко всем системам и ввел новый стандарт безопасности.
В записке, отправленной в газету, CNJ сообщил, что принял все необходимые меры для укрепления своей киберсреды. GitHub отказался комментировать это дело.
Вы смотрели наши новые видео на YouTube? Подписывайтесь на наш канал!
Пост «Как хакер «Ваза Джато» вторгся в системы Правосудия» впервые появился на Olhar Digital.