A maior brecha de segurança não está, necessariamente, no código-fonte dos sistemas, mas sim nas pessoas que os operam. Prova disso veio à tona no último sábado (20), quando uma quadrilha de cibercriminosos utilizou logins verdadeiros de magistrados para inserir ordens de soltura falsas no Banco Nacional de Mandados de Prisão, ligado ao Conselho Nacional de Justiça (CNJ). O golpe resultou na saída irregular de quatro detentos do Ceresp Gameleira, em Belo Horizonte (MG). Em menos de 24 h as decisões foram canceladas, mas três dos foragidos ainda não foram recapturados.
Credenciais oficiais, dano real
Diferentemente de ataques que exploram vulnerabilidades técnicas, o grupo se valeu de credenciais legítimas, segundo a investigação conduzida pelo Tribunal de Justiça de Minas Gerais (TJMG) e pela Secretaria de Segurança Pública. Na prática, o sistema do CNJ não foi “hackeado” por falhas de software; ele foi simplesmente acessado com usuário e senha válidos — o famoso credential stuffing.
Ainda não se sabe se os logins vazaram por phishing, engenharia social ou venda em fóruns clandestinos. O fato é que, com os acessos em mãos, os criminosos geraram documentos eletrônicos idênticos a mandados oficiais e enganaram toda a cadeia de validação, da Vara de Execuções até a direção do presídio.
Por que isso importa para você que trabalha ou joga no PC?
Parece um caso distante do cotidiano de quem só quer montar um setup gamer, mas o princípio é o mesmo: seu e-mail do Steam, sua conta do banco, o painel de administração de um site ou o domínio .gov.br — tudo costuma girar em torno de login e senha.
- Senhas únicas e fortes ainda são a primeira linha de defesa, mas já não bastam.
- Autenticação em dois fatores (2FA) barra mais de 95 % dos ataques de credenciais roubadas, segundo a Microsoft.
- Chaves de segurança FIDO2, como YubiKey ou Titan, praticamente zeram o risco de phishing, pois exigem um token físico conectado ao PC ou ao smartphone.
Comparativo rápido: apps de autenticação × chaves físicas
Muita gente usa o Google Authenticator ou o Microsoft Authenticator, que geram códigos temporários (TOTP). Funciona bem, mas não evita ataques de phishing em tempo real, nos quais o invasor intercepta o código e o usa imediatamente.
Já as chaves FIDO2 (disponíveis na Amazon em versões USB-A, USB-C ou NFC) realizam criptografia de desafio-resposta. O servidor sabe que o “clique” partiu do hardware cadastrado, e não de uma página clonada. É a mesma camada de proteção que grandes empresas adotam para funcionários que lidam com dados sensíveis — como, por exemplo, magistrados e servidores públicos.
Imagem: Sejusp-MG
Impacto prático: do fórum de mods ao home office
• Streamer e criador de conteúdo: sua receita depende de contas em Twitch, YouTube e PayPal. Um vazamento de senha pode derrubar seu canal e sua renda em minutos.
• Jogador competitivo: perder o acesso ao seu perfil de CS 2 ou Valorant significa anos de progresso e itens cosméticos indo pelo ralo — e sem direito a habeas corpus.
• Profissional em home office: documentos corporativos, repositórios Git e dados de clientes vazados podem custar caro em multas LGPD.
Plano de ação em três passos
- Habilite o 2FA em todos os serviços críticos — e-mail, redes sociais, plataformas de games, bancos.
- Considere uma chave de segurança física para contas realmente valiosas. Modelos como YubiKey 5 NFC e Titan Security Key são compatíveis com Google, Microsoft, GitHub, Steam e até o Windows Hello.
- Use um gerenciador de senhas confiável, como Bitwarden ou 1Password, para criar senhas únicas e complexas, evitando repetições que facilitam ataques de credential stuffing.
E o caso dos presos? Próximos passos
O CNJ informou que não há indícios de falha estrutural nos sistemas e que nenhum servidor público está envolvido. Todas as ordens falsas foram revogadas e os mandados originais, restabelecidos. Como medida imediata, o governo de Minas Gerais decidiu atrasar temporariamente o cumprimento de novas ordens de soltura para checagem manual de autenticidade. Paralelamente, Polícia Civil e Ministério Público aprofundam as diligências para entender como as credenciais vazaram.
Enquanto as autoridades correm atrás do prejuízo, a lição que fica para usuários domésticos e empresas é simples: a era da “senha + aniversário do filho” acabou. Se credenciais de juízes podem cair em mãos erradas, imagine o que pode acontecer com aquela conta de e-mail reciclada desde 2010.
Com informações de Olhar Digital
