Venda bilionária de dados governamentais na deep web expõe vulnerabilidade cibernética brasileira com prisão de hacker em Minas Gerais
A Polícia Civil de São Paulo desarticulou um esquema complexo de comercialização de informações sigilosas de órgãos governamentais, policiais e judiciários, operado por um especialista em tecnologia da informação. Leonardo do Carmo da Silveira Costa, de 46 anos, identificado como hacker, oferecia um catálogo de dados confidenciais e credenciais de acesso em uma “loja” virtual na deep web. A ação resultou em medidas cautelares em sua residência rural em Minas Gerais e no cumprimento de mandado de busca e apreensão em Belo Horizonte na última quinta-feira, onde mantinha um data center com a vasta compilação de informações sensíveis, segundo a Polícia Civil de São Paulo.
Leonardo do Carmo da Silveira Costa possuía acesso privilegiado a diversos sistemas públicos, abrangendo a Polícia Civil paulista, a Controladoria Geral do Estado de São Paulo e o governo estadual, além da Prefeitura de São Paulo. Seu alcance se estendia também aos Tribunais de Justiça de Goiás e Tocantins, e à Polícia Militar goiana. Desde os anos 1990, o hacker utilizava sua vasta experiência para invadir essas plataformas e, em seguida, comercializar credenciais de acesso, registros internos e dados pessoais de servidores e autoridades. Uma fonte anônima revelou que a operação se assemelhava a um supermercado na deep web, com “pacotes de produtos” cujos valores variavam de centavos a milhões. Listas contendo informações de policiais, por exemplo, eram vendidas individualmente por cada nome mencionado. Estima-se que o esquema tenha gerado milhões em lucros, transacionados por meio de criptomoedas, valor que ainda está sob investigação.
A engenharia por trás das invasões e a venda no submundo digital
O modus operandi de Leonardo do Carmo envolvia uma sofisticada sequência de ações para comprometer a segurança de sistemas governamentais:
- Exploração de falhas em servidores: Ele identificava e tirava proveito de vulnerabilidades críticas em servidores de tecnologia da informação.
- Uso de artefatos maliciosos: Desenvolvia malwares personalizados, equipados com mecanismos de comando e controle para persistência e gestão remota.
- Invasões cibernéticas: Realizava invasões diretas para extrair grandes volumes de dados confidenciais dos sistemas públicos.
- Comercialização com criminosos: Os dados coletados eram, então, vendidos em fóruns clandestinos e redes fechadas dedicadas a crimes digitais.
A Polícia Civil considera os crimes digitais perpetrados como um impacto severo à integridade do Estado.
“Estamos falando de um risco concreto à segurança da informação institucional.”
Apesar da gravidade, Leonardo do Carmo responde ao processo em liberdade, sob uma série de restrições cautelares. Ele é obrigado a usar tornozeleira eletrônica e está proibido de acessar a internet. A defesa do acusado não foi localizada para comentar as acusações.
Quem é Leonardo do Carmo da Silveira Costa
Leonardo do Carmo atua no setor de TI desde a década de 1990, acumulando experiência em desenvolvimento de sistemas e consultoria. As investigações sugerem uma possível conexão com Francisco Bruno de Sousa Costa, conhecido pelo codinome “BRTurbo”. BRTurbo, anteriormente preso pela Polícia Federal por explorar sistemas do Detran/DF, teria compartilhado conhecimento técnico com Leonardo, indicando uma rede de colaboração no submundo cibernético.
