Ir direto para menu de acessibilidade.
Página inicial > Notícias > Notícias 2015 > Ibama esclarece suposta invasão do sistema DOF e roubo de senhas
Início do conteúdo da página

Ibama esclarece suposta invasão do sistema DOF e roubo de senhas

Publicado: Terça, 25 de Agosto de 2015, 12h56

Brasília (25/08/2015) - No último sábado (22/8), veículos de imprensa noticiaram que hackers teriam invadido computadores do Ibama, capturado senhas de acesso e liberado empresas suspensas por crimes ambientais junto ao sistema de controle de comércio de produtos florestais.

O Ibama esclarece que a invasão relatada não ocorreu. O sistema a que se referem as reportagens é o módulo eletrônico do Documento de Origem Florestal (DOF), hospedado em servidor externo que possui soluções de ponta em tecnologia da informação e cuja segurança é comparável à dos melhores sistemas bancários da atualidade.

O acesso a esse módulo não se dá por meio de senha. Em agosto de 2014, o Ibama tornou obrigatória a utilização de certificado digital para todos os usuários. No caso de servidores do Ibama e de órgãos estaduais de meio ambiente, a obrigatoriedade foi adotada nove meses antes, em novembro de 2013.

O Ibama não controla a emissão nem o gerenciamento de certificados digitais - atividades realizadas pelas autoridades certificadoras credenciadas pelo Instituto Nacional de Tecnologia da Informação (ITI) - e tampouco armazena senhas utilizadas nesses certificados. São dispositivos pessoais e intransferíveis cujo código de acesso é atribuído pelo usuário no momento da aquisição do certificado e administrado por meio de aplicativo relacionado ao dispositivo.

O que ocorreu, de fato, foi o uso de certificados digitais fraudulentos, adquiridos com documentos pessoais falsificados junto à autoridade certificadora, em nome de servidores do Ibama que possuíam privilégio gerencial no DOF. A atuação dos criminosos nos desbloqueios de empresas ocorreu no período de 25 a 30 de março deste ano, tendo sido rapidamente detectada pelo monitoramento sistemático das transações realizado pelo Ibama.

Já no dia 31 de março, todas as empresas envolvidas na fraude estavam novamente bloqueadas e os certificados digitais indevidos tiveram seu acesso suspenso no sistema. Naquela mesma semana, os servidores atingidos pelo uso dos certificados digitais fraudados providenciaram sua revogação junto às autoridades certificadoras.

Como de praxe, os crimes foram imediatamente comunicados à Polícia Federal. As informações fornecidas pelo Ibama subsidiaram a investigação, que resultou nas recentes prisões noticiadas. No início de abril foram adotadas novas regras de segurança para acesso ao DOF, com a limitação de horários e locais vinculados à unidade de trabalho do servidor e o reconhecimento de um único certificado por pessoa.

Portanto, o Ibama esclarece:

1) não houve invasão de computadores, roubo de senhas nem qualquer quebra de segurança no sistema;

2) houve aquisição de certificados digitais ilegítimos em nome de servidores do Ibama com a apresentação de documentação falsa junto à autoridade certificadora, fato que possibilitou o acesso indevido ao módulo eletrônico do DOF entre 25 e 30 de março deste ano;

3) os certificados fraudados foram rapidamente identificados e tiveram seu acesso suspenso em 31 de março de 2015, e imediatamente houve o bloqueio de todas as empresas envolvidas na irregularidade, a auditagem das movimentações e a consequente penalização das empresas beneficiadas;

4) todas as informações relacionadas às operações ilegais foram encaminhadas à Polícia Federal, resultando nas prisões realizadas recentemente;

5) foram acrescentadas no início de abril medidas adicionais de segurança para o acesso com certificado digital ao DOF;

6) o Ibama não controla a emissão, distribuição, renovação, revogação ou gerenciamento de certificados digitais, atividades que estão sob responsabilidade das autoridades certificadoras.

Diretoria de Uso Sustentável da Biodiversidade e Florestas do Ibama

Fim do conteúdo da página