Quando, em 2010, chegou ao Sporting para ser o responsável pela administração do sistema informático do clube, David Tojal, agora com 36 anos, começou logo por “questionar a complexidade das passwords”. “As passwords tinham três caracteres e a maior parte era SCP”, declarou, despertando várias gargalhadas na sala de audiências do Campus da Justiça, incluindo a do arguido Rui Pinto — que é acusado de um ataque informático aquele sistema.
O técnico alterou, então, o nível de acesso e obrigou, entre outras medidas, a que fossem colocadas seis letras e números no código de acesso às caixas de e-mail. Mas pouco depois a direção pediu-lhe para voltar a facilitar a vida aos funcionários. “Era demais para a cabeça deles, mas mantive os seis caracteres”, disse na sessão desta quarta-feira. Ainda assim, sempre que atribuía uma nova password, ele próprio dava uma senha tipo SCP123 e recomendava ao utilizador que a mudasse depois, mas muitos não o fizeram.
O responsável lembrou em tribunal que os cerca de 50/60 servidores, para mais ou menos 600 funcionários, eram “bastante antigos” e que “não era fácil” geri-los. Foi tentando melhorá-los aos poucos enquanto ali trabalhou, até 2015 — altura em que o ataque que agora se atribui a Rui Pinto deitou todo o sistema abaixo, segundo a acusação do Ministério Público.
Contrato de Jesus levou origem do ataque à Hungria
Quando este ataque aconteceu, David Tojal lembrou-se de um contrato valioso que podia interessar a um possível pirata informático: o do treinador Jorge Jesus. O contrato que acabou por ser publicado no Football Leaks. “Percebi que só duas ou três pessoas o tinham”, da direção e do departamento jurídico, e que tinham acedido aos e-mails desses utilizadores através de um IP localizado na Hungria — onde Rui Pinto acabou detido.
O técnico lembrou, também, que a certa altura os ataques deixaram de acontecer apenas à noite e de madrugada para passarem a “acontecer a toda a hora”.
Antes do seu testemunho, ainda de manhã, foi a vez da defesa de Rui Pinto confrontar o especialista da PJ que analisou o que se passou no dia 22 de setembro de 2015 com o sistema informático do Sporting, que terá sido atacado até colapsar.
Nem o especialista da PJ, Afonso Rodrigues, nem o responsável pelo sistema informático do Sporting souberam, no entanto, localizar o momento em que o sistema colapsou. Apesar de David Tojal se lembrar de uma certa manhã de 2015 chegar ao trabalho e começar a receber várias queixas das dificuldades de acesso ao sistema, não sabe precisar a que dia foi.
O Ministério Público, no entanto, faz no despacho de acusação uma lista de dias em que os alegados piratas informáticos tentaram entrar no sistema, com e sem sucesso. Mas as dezenas de folhas de Excel exibidas em tribunal, durante esta quarta-feira, não mostram nenhum momento de manhã em que, de facto, o sistema tenha ficado completamente em baixo, sem permitir qualquer acesso. Os relatórios feitos na altura, e que David tem recorrido porque não trabalha na área desde então (agora tem uma “pequena empresa na área do turismo”) não demonstram quando é que o sistema de facto colapsou.
Arguidos, crimes, vítimas, datas, segurança. Guia rápido para acompanhar o julgamento de Rui Pinto
O ataque que a defesa tentou desconstruir
Depois da anterior sessão em que a juíza deixou claro que estava a julgar apenas uma pessoa e que tinha que perceber o raciocínio da PJ para colocar Rui Pinto sozinho no centro da investigação, e ainda pela manhã, o especialista da PJ tinha explicado que fora ele o responsável por analisar o ataque informático ao Sporting, a 22 de setembro, destacando quatro momentos diferentes desse dia: um acesso através da utilização ilegal de credenciais válidas e três outros acessos cujo único objetivo era deitar abaixo todo o sistema.
Nesse dia foram usadas 26.678 ferramentas de ataque, com escassos segundos entre eles para que o sistema não conseguisse responder-lhes e colapsasse como terá acontecido. “Humanamente é impossível um utilizador ou vários utilizadores fazerem tantos pedidos ao mesmo tempo no intervalo de 1 ou 2 segundos”, disse o polícia.
— Mas consegue perceber quando é que o sistema colapsou?, perguntou-lhe depois a advogada Luísa Teixeira da Mota.
— Não se consegue saber o crash, admitiu, sustentando que do documento que estava a exibir não se podia extrair essa conclusão.
Afonso Rodrigues contou, porém, que a análise aos acessos feitos ao sistema informático naquele dia 22 de setembro foi-lhe entregue em 2019, sem saber precisar quando e de quanto tempo precisou para o fazer. E que acredita que ninguém mais na PJ analisou assim ao detalhe os acessos aquele sistema informático. As suas conclusões culminaram num relatório que assume que o atacante estava a explorar as vulnerabilidade do sistema para tentar entrar e que, depois, o fez colapsar.
— Não consigo aferir qual seria a intenção do ataque, acabou por dizer o especialista da PJ.
— não sabe quantos dias durou a quebra porque só analisou um dia, ripostou a advogada, que lembrou que aqueles elementos chegaram ao processo quatro ano antes.
Sempre num ataque cerrado às provas exibidas pela PJ, Rui Pinto levantou-se várias vezes para dizer aos advogados o que deviam perguntar mais.
— Também era bom ter o arguido a falar, acabou por ironizar uma das juízas.
— Nós transmitimos tido o que ele nos transmite, apaziguou o advogado Francisco Teixeira da Mota.
“Sabe o que significa o código de erro 404?”, pergunta-lhe a advogada, transmitindo o recado de Rui Pinto. “Não estou muito certo, mas creio que é o erro de resposta de servidor web a dizer que a página está indisponível”, respondeu a medo o polícia. “E o 401?”, prosseguiu a advogada. “Não estou a ver…”. “Não sabe nada!”, reagiu Rui Pinto na sua cadeira visivelmente enervado com o depoimento do PJ — a polícia com quem agora aceitou colaborar.
Testemunha contradiz-se e põe acusação de pernas para o ar
Já à tarde, desta vez numa sessão mais curta que o habitual, David Tojal voltou a sentar-se na cadeira das testemunhas. De computador à frente, teve que explicar o significado de dezenas de ficheiros de Excel que traduzem todos os atos do sistema informático nos dias a que foram identificadas intrusões no sistema.
O problema — que ia deixando o coletivo ele próprio à beira do colapso — foi quando o Ministério Público (MP) percebeu que a interpretação que agora faz destes ficheiros, e que são a prova do processo, é diferente da que consta do despacho de acusação contra Rui Pinto. Na acusação o Ministério Público elenca algumas datas em que foram feitos acessos às contas de e-mail de pessoal do Sporting e outras em que estes acessos não foram conseguidos. Por exemplo, diz o MP que a 4 de agosto de 2015 houve tentativas falhas de entrar nos e-mails do vice-presidente do Sporting, Rui Caeiro, do técnico Augusto Inácio ou de Manuel Fernandes, agora comentador. Mas agora David Tojal, ao olhar para os documentos, diz que esses acessos foram conseguidos.
— Então vamos ter que ver um a um, disse a procuradora do Ministério Público quando se apercebeu da contradição.
— Um a um?, perguntou a juíza presidente Margarida Alves.
— Não sei fazer isto de outra maneira, respondeu a magistrada do MP.
Já a 24 de julho de 2015, por exemplo, enquanto a acusação diz que se acedeu ilegalmente às contas de Tiago Vieira (filho do presidente), Augusto Inácio e do ex-presidente Bruno de Carvalho, agora nesta sessão de julgamento o então responsável pelo sistema informático veio dizer o contrário: o acesso não foi conseguido.
Por outro lado, há uma série de datas elencadas na acusação que o Ministério Público não consegue agora triar em tribunal e perceber se estão ou não corretas. “Então em que sustentaram a acusação?”, perguntou, a certa altura, a juiz presidente. “Há nos documentos em papel”, justificou a procuradora — onde não é possível usar a ferramenta “Find” (que no computador permite pesquisar por palavra) , neste caso com num Excel, e fazer uma pesquisa rápida em julgamento para perceber a que afinal se acedeu.
Depois de ter sido absolvido no processo do ataque à Academia de Alcochete e aos seus jogadores, o ex-presidente do Sporting regressa a tribunal, desta vez na condição de testemunha. Bruno de Carvalho está entre cerca de uma dezenas de testemunhas que serão chamadas a testemunhar durante a próxima semana por terem visto os seus e-mails violados. Assim será a agenda de testemunhas da próxima semana.
Também David, o ex-funcionário do Sporting, volta a tribunal com o compromisso de conseguir descobrir em casa quando é que, afinal, o sistema informático do Sporting colapsou.
Os 90 crimes que trazem Rui Pinto ao tribunal
Rui Pinto é acusado de 90 crimes por ter acedido aos sistemas informáticos e caixas de emails de pessoas ligadas ao Sporting, à Doyen, à sociedade de advogados PLMJ, à Federação Portuguesa de Futebol, à Ordem dos Advogados e à PGR. Entre os visados estão Jorge Jesus, Bruno de Carvalho, o então diretor do DCIAP Amadeu Guerra ou o advogado José Miguel Júdice. São, assim 68 de acesso indevido, 14 de violação de correspondência, seis de acesso ilegítimo e ainda por sabotagem informática à SAD do Sporting e por tentativa de extorsão ao fundo de investimento Doyen.
Aníbal Pinto, o seu advogado à data dos alegados crimes, responde pelo crime de tentativa de extorsão. Isto porque, segundo a investigação, Rui Pinto terá exigido à Doyen um pagamento entre 500 mil e um milhão de euros para que não publicasse documentos relacionados com a sociedade que celebra contratos com clubes de futebol a nível mundial. Aníbal Pinto, então advogado do hacker, terá servido de seu intermediário.
