Password do Sporting era "SCP". Clube sofria ataques informáticos "a toda a hora"

As palavra-passes internas do Sporting costumavam ser "SCP". Algo que facilitava ataques informáticos "massivos" e constantes, segundo contou, esta quarta-feira, o antigo administrador dos sistemas informáticos do clube de Alvalade.

Em declarações ao coletivo de juízes que julga o caso "Football Leaks", David Tojal explicou que os servidores do Sporting "eram antigos" e que "não era fácil fazer atualizações".

"As 'passwords' eram fracas e tinham apenas três caracteres, que por norma eram 'SCP'", revelou o técnico, sobre a altura em que chegou ao Sporting, em 2010. Um depoimento que arrancou uma gargalhada geral na sala de audiências.

David Tojal sublinhou, ainda, que mesmo depois de advertir para a insegurança das "passwords", não conseguiu implementar as condições de segurança desejadas e necessárias: "Falei na necessidade de 'passwords' maiores, com dados alfanuméricos, mas aquilo já era demais para eles."

Na décima sessão de julgamento, o técnico de informática esclareceu que o Sporting se apercebeu do ataque informático quando teve um problema nos e-mails e viu publicado no blogue "Football Leaks" o contrato de Jorge Jesus, então treinador da equipa principal.

“Detetámos lentidão no sistema, nos e-mails e decidimos reiniciar o servidor. Quando o ligámos, verificámos que tínhamos um problema com a base de dados dos e-mails. Ficou corrompida. Aí, parámos todo o trabalho de recuperação de e-mails e fomos tentar perceber o que se tinha passado", contou.

Fontes dos ataques: Porto e Hungria

David Tojal, que foi ouvido como testemunha, acrescentou que percebeu que o ataque ocorrido teria usado uma ferramenta do género de um "scanner" que terá levado cópias de informação.

O técnico responsável pela informática do Sporting esclareceu que tentou reabilitar o sistema através de "backups", mas que tal não foi possível numa primeira fase.

“Pedimos ajuda a uma empresa e mesmo assim não se conseguiu”, recordou, assinalando que o pedido de ajuda chegou ainda à Microsoft, que também não conseguia resolver o problema que dificultava o acesso às contas de e-mail.

No meio da avaliação, foi identificado o IP do computador que estava a levar a cabo os ataques dirigidos, na sua maioria, à Direcção do Sporting e aos serviços jurídicos. O computador estava sediado na Hungria. Um dos ataques partiu também da cidade do Porto.

Ataques que eram levados a cabo, na sua maioria, à noite ou de madrugada, numa primeira fase, e depois “a toda a hora”.

Hungria era, precisamente, onde Hugo Pinto, alegado criador do "Football Leaks", residia aquando da sua detenção. Além disso, o suposto "hacker" estudou na cidade do Porto.

Acessos legítimos e ilegítimos

Antes de David Tojal, foi a vez do técnico especialista informático na Policia Judiciária concluir o depoimento em tribunal. Afonso Rodrigues analisou apenas os ataques levados a cabo ao Sporting em três momentos do dia 22 de setembro de 2015.

Questionado sobre quantos acessos ilegais foram detetados, referiu que se registaram, em apenas um dia, mais de 27,6 mil linhas de ataque ao clube, ações que misturavam acessos legais e ilegais aos e-mails:

“Os pedidos enviados ao servidor eram feitos a um ou três segundos. Humanamente impossível numa utilização normal do e-mail."

O técnico descreveu os ataques como “massivos” e com o intuito de detetar fragilidades nos sistemas informáticos do Sporting.

Também Afonso Rodrigues referiu que os acessos ilegais eram feitos a partir de um computador da Hungria. O especialista afirmou que o mesmo aparelho estaria a levar a cabo acessos legais e ilegais, o que tornou difícil a avaliação do caso.

“Os programas usados no ataque corriam em dois sistemas operativos que permitiam acessos fidedignos e ilegítimos”, explicou, quando o coletivo de juízes pretendeu perceber se o mesmo computador conseguia simultaneamente fazer as duas coisas.

Esta foi uma sessão que arrancou várias reacções do arguido Rui Pinto. Durante o depoimento do técnico informático da PJ, o alegado "hacker" chamou por diversas vezes o advogado para partilhar comentários. Em diversas circunstâncias, abanou a cabeça, dizendo que "não", enquanto a testemunha dizia que o sistema informático usado nos ataques procurava fragilidades nos sistemas.