Municípios à deriva: sem segurança digital, mais de 300 foram atacados em 3 anos

Cidades de todos os portes são afetadas e casos têm algo preocupante em comum: não há qualquer transparência sobre a extensão dos danos, nem menção a planos de resposta a incidentes ou aviso aos titulares de dados sobre a exposição

Em pelo menos 310 cidades brasileiras, a população enfrentou dias de serviços interrompidos, teve seus dados pessoais expostos ou mesmo impostos desviados dos cofres públicos por causa de ataques cibernéticos, de 2019 até hoje. Na falta de um levantamento oficial sobre o assunto, coletei os dados de maneira inédita a partir de informações precárias publicadas em veículos locais ou em notas públicas das próprias prefeituras. É a ponta de um iceberg: muitos mais podem ter sido alvo de ataques sem que os casos fossem noticiados. 

Casos de invasão digital a órgãos públicos ganharam grande destaque na imprensa nos últimos tempos, sobretudo na esfera federal. Mas, sem ter a mesma capacidade de se defender e sem políticas consistentes de governança de dados, os municípios se tornam vítimas silenciosas dessa epidemia de ataques, que cresce rapidamente no Brasil. 

O investimento necessário, mas com frequência adiado, acaba se traduzindo em prejuízos difíceis de quantificar. Há prefeituras em que os cidadãos ficaram até duas semanas sem acesso a qualquer serviço público — mesmo aulas remotas, instituídas na pandemia, tiveram de ser suspensas. Em diversos outros, funcionários e fornecedores ficaram dias sem receber pagamentos. 

Há, ainda, casos de equipes que fizeram mutirões para refazer processos e relançar informações em sistemas — o que é muito grave do ponto de vista de integridade pública, pois dá margem a erros e alteração indevida de dados históricos. A vulnerabilidade atinge também os computadores de secretarias de finanças, permitindo ataques sempre suspeitos a contas bancárias e desvio de recursos. 

Categorizei os ataques identificados em cinco tipos: 

(1) Ransomware, que envolve o “sequestro” de dados com uso de criptografia e mediante solicitação de pagamento; 

(2) ‘Pichação’, também chamado pelo termo técnico em inglês defacement, em que sites são alterados ou mensagens de cunho político são postadas; 

(3) Desvio de recursos, quando, por causa da infecção de máquinas com vírus, contas bancárias são afetadas; 

(4) Sem informações sobre o método, quando as notícias são tão superficiais que não permitem identificar o tipo de ataque e 

(5) DDoS, ou ataques distribuídos de negação de serviços, quando o excesso de requisições a um site acaba por derrubá-lo.     

Municípios de todos os portes estão sujeitos aos ataques: dos maiores e mais ricos, como capitais e cidades com alto desenvolvimento socioeconômico, aos pequenos, em que o desvio de recursos chegou a representar dois meses inteiros de arrecadação (é o caso de Imbuia-SC, com cerca de 6 mil habitantes).

O que todos parecem ter em comum: não há qualquer transparência sobre a extensão dos danos, nem a quais dados foram afetados, especialmente os de natureza pessoal e sensível. Tampouco há qualquer menção à existência de um Plano de Resposta a Incidentes, como previsto na Lei Geral de Proteção de Dados (LGPD), ou de aviso aos titulares de dados sobre a exposição. Finalmente, em nenhum dos casos há informação sobre eventual notificação do ocorrido à Autoridade Nacional de Proteção de Dados (ANPD).

Quase 30 casos foram classificados como “sem informação sobre o método”, pois as notas oficiais ou notícias a respeito das ocorrências eram tão lacônicas que não permitiam compreender o que de fato aconteceu. Da mesma forma, pouco se sabe sobre os resultados de investigações ou conclusões e medidas tomadas depois que os casos foram noticiados. 

Desvio de R$ 14,5 milhões

Entre os ataques, o tipo mais curioso é o que envolve desvio de recursos. Identifiquei pelo menos dez que, somados, representaram R$ 14,5 milhões a menos nos cofres dos municípios. Em diversas das notícias, a polícia civil de diferentes estados diz trabalhar com a hipótese de vulnerabilidades nos computadores ou na rede das prefeituras — em Campinas (SP), por exemplo, R$ 7,4 milhões foram desviados da conta em que recebe o Imposto Predial e Territorial Urbano (IPTU) e não é utilizada para fazer nenhum tipo de pagamento. 

Em Virgolândia (MG), a origem da invasão que desviou R$ 152 mil de quatro contas da prefeitura em maio de 2021 teria sido um arquivo infectado enviado a uma funcionária do Tesouro Municipal, que acreditava estar abrindo uma nota fiscal. Um mês depois, em Jaboticatubas (MG), R$ 2,9 milhões de reais desapareceram das contas da prefeitura em menos de uma hora, desviados em 42 transferências.  

Nem sempre as instituições bancárias ressarcem os municípios — enquanto Campinas (SP) conseguiu acordo com o Banco do Brasil para devolução, a prefeitura de Matelândia (PR), com cerca de 18 mil habitantes, precisou ir à Justiça demandar o ressarcimento dos quase R$ 500 mil desviados de suas contas.

Apesar da semelhança de métodos e coincidência de datas, as notícias esparsas das diferentes localidades não dão a entender que haja alguma investigação nacional a respeito dos grupos envolvidos. 

Uma moderna queima de arquivos?

No meio de tantos ataques, é de se questionar se algumas invasões não podem estar sendo forjadas para desvio de recursos ou “queima de arquivos” — o que seria outro problema sério de integridade pública. Um caso assim foi denunciado em Santa Catarina. A Prefeitura de Biguaçu (SC), que ficou cerca de 40 dias com sistemas indisponíveis alegando ter sido vítima de ransomware no final de 2020, está sendo investigada pela Polícia Civil do estado por suposta falsa comunicação de crime, segundo o portal local ND Mais.     

Em Mateus Leme (MG), em setembro de 2020, um ataque também foi colocado em dúvida. Foram duas etapas: primeiro, listas de documentos pessoais de munícipes inscritos na dívida ativa começaram a circular na internet. Depois que a prefeitura disse que estava investigando os responsáveis, novo ataque foi feito, desta vez de ransomware, o que levou a administração a suspeitar que o objetivo era apagar rastros do primeiro vazamento — algo não confirmado.

Ativismo anticiência e pró-Bolsonaro 

Os ataques de defacement foram bastante comuns durante a pandemia. Longe de apenas chamarem a atenção, também impactaram serviços e não há clareza sobre até que ponto chegaram a expor dados pessoais. Na maior parte das vezes esse tipo de ataque explora vulnerabilidades apenas no código do front-end das páginas, mas algumas notícias falam em “senhas fracas” de administradores que teriam sido comprometidas. 

O mais expressivo deles atingiu de uma só vez 245 prefeituras catarinenses (o que representa 83% de todo o estado), em dezembro de 2021. Essas cidades tinham sites e serviços hospedados nos servidores da Federação Catarinense de Municípios. Os criminosos escreveram mensagens políticas contra medidas de proteção da Covid-19 e em apoio à reeleição de Bolsonaro. 

Em outros ataques aqui categorizados como “sem informação sobre o método”, não há mais detalhes sobre o tipo de invasão, mas também tiveram como alvo os sites e sistemas de secretarias de saúde, em protesto contra medidas sanitárias de combate à pandemia e contra as campanhas de vacinação.  

Apagando incêndio, sem prevenir novos

Sem o foco na prevenção e em governança de dados, as prefeituras parecem estar apagando incêndio. No final de 2019, duas prefeituras chegaram a decretar estado de emergência após os ataques — medida administrativa que permite dispensar ritos de licitação, por exemplo. É o caso de Barrinha (SP) que, com a folha de pagamentos “sequestrada”, pagou mil servidores manualmente. Em Itacarambi (MG), depois de ter esgotado as possibilidades de recuperação dos dados, o município “fechou” a prefeitura por 15 dias, suspendendo serviços financeiros, tributários, emissões de notas fiscais e de gestão de recursos humanos, entre outros.

Algumas chegam a contratar serviços para descriptografar arquivos após ataques de ransomware — não há detalhes sobre o sucesso dessas medidas. O diário oficial da Prefeitura de Alto Taquari (MT), por exemplo, traz a informação de que a administração contratou, por dispensa de licitação, empresa para essa finalidade, por R$ 23,7 mil.

A implementação da LGPD pode ser encarada como oportunidade para estabelecer estruturas de governança que se articulem à política de serviços digitais e de transparência, com mapeamento de dados e de riscos a que estão sujeitos. O investimento nessa infraestrutura precisa ser transparente. As prefeituras também precisam ficar atentas às consultorias oportunistas que prometem “adequar” as cidades à LGPD, sem promover de fato uma estrutura permanente que dê conta de proteger os dados dos cidadãos. 

Abaixo, listo todos os ataques identificados em notícias locais e notas oficiais de municípios afetados, em prefeituras ou câmaras municipais. Não entraram no escopo notícias sobre roubo de credenciais de redes sociais oficiais.

RANSOMWARE

Envolve o “sequestro” de dados com uso de criptografia e mediante solicitação de pagamento.

  1. Prefeitura de Alegre (ES), junho de 2022: ataque de ransomware deixou sistemas indisponíveis.
  2. Prefeitura de Rio Bom (PR), abril de 2022: cidade suspendeu atendimento ao público após ataque de ransomware, que afetou maior parte dos sistemas da gestão municipal; prefeito diz ter conseguido restabelecer graças à existência de backup.
  3. Prefeitura de Pontes e Lacerda (MT), janeiro de 2022: ataque de ransomware bloqueou bancos de dados e impediu atendimento ao público.
  4. Prefeitura de Taboão da Serra (SP), agosto de 2021: ataque de ransomware tirou todos os sistemas da prefeitura do ar e provocou o fechamento da Atende – Central de Atendimento ao Cidadão. Servidor principal e o de backup foram afetados. 
  5. Prefeitura de Bandeirantes (MS), julho de 2021: ataque de ransomware comprometeu “dados e arquivos”, mas gestão alegou que sua prestadora de serviço realiza backup e faria a restauração.  
  6. Prefeitura de Eldorado (SP), abril de 2021: ataque de ransomware bloqueou “todos os dados” da prefeitura e levou uma semana até que a prefeitura voltasse perto da “normalidade”. Pagamento de funcionários atrasou por dias. 
  7. Prefeitura de Nova Venécia (ES), novembro de 2020: ataque de ransomware bloqueou o acesso aos sistemas administrativo, contábil e financeiro do município.
  8. Prefeitura de Tupã (SP), outubro de 2020: ataque de ransomware atingiu todos os sistemas da Prefeitura – dos tributos aos serviços, passando por educação e saúde. O último backup datava de quase um mês atrás, e por isso a prefeitura disse que seria necessário “uma grande força tarefa conjunta para o relançamento desses dados”.
  9. Prefeitura de Candiota (RS), outubro de 2020: ataque de ransomware deixou os sistemas da cidade indisponíveis durante dias, até que pudesse backup fosse restabelecido. 
  10. Prefeitura de Mateus Leme (MG), setembro de 2020: o ataque aconteceu em duas etapas: primeiro, listas de documentos pessoais de munícipes inscritos na dívida ativa começaram a circular na internet; depois que a prefeitura disse que estava investigando os responsáveis, novo ataque foi feito, desta vez de ransomware, o que levou a administração a suspeitar que o objetivo era apagar rastros do primeiro vazamento.
  11. Prefeitura do Rio de Janeiro (RJ), junho de 2020: ataque de ransomware tornou sistemas de diversas unidades de saúde indisponíveis, no auge da pandemia de Covid-19, prejudicando o trabalho dos médicos e o atendimento a pacientes. 
  12. Prefeitura de Jerônimo Monteiro (ES), maio de 2020: ataque de ransomware bloqueou acesso a sistemas administrativo, contábil e financeiro da administração municipal.
  13. Prefeitura de Venda Nova do Imigrante (ES), maio de 2020: ataque bloqueou arquivos da administração municipal e suspendeu serviços por dias, inclusive emissão de alvará e pagamentos. 
  14. Prefeitura de Birigui (SP), janeiro de 2020: ataque de ransomware paralisou serviços, mas administração diz que detectou e agiu rapidamente para restabelecer dados e sistemas. 
  15. Prefeitura de Barrinha (SP), outubro de 2019: ataque de ransomware fez prefeitura pagar mil servidores manualmente e chegou a decretar estado de emergência
  16. Prefeitura de Itacarambi (MG), novembro de 2019: após ataque de ransomware e esgotar as possibilidades de recuperação dos dados, o município chegou a decretar estado de emergência que “fechou” a prefeitura por 15 dias, suspendendo serviços financeiros, tributários, emissões de notas fiscais e de gestão de recursos humanos, entre outros.
  17. Prefeitura de Ponta Grossa (PR), setembro de 2019: ataque teve acesso a informações pessoais (inclusive foram utilizadas para ameaçar prefeito, expondo dados seus e de parentes) e foi feita exigência de pagamento. Não fica claro se é ransomware com dados criptografados ou se a ameaça de extorsão é para não divulgar dados que invasores teriam obtido no ataque. 
  18. Prefeitura de Alto Taquari (MT), fevereiro de 2019: não há informações sobre o ataque, mas o diário oficial traz a informação de que a Prefeitura contratou, por dispensa de licitação, empresa para “descriptografia” de arquivos após ataque de ransoware, por R$ 23,7 mil. 

PICHAÇÃO’ (defacement)

Também chamado pelo termo técnico em inglês defacement, em que sites são alterados ou mensagens de cunho político são postadas.

  1. Prefeitura de Imperatriz (MA), março de 2022: mensagem de protesto contra o aumento de preços dos combustíveis foi deixada no site da prefeitura, que afirmou que os bancos de dados não foram comprometidos. 
  2. Prefeitura de Florianópolis (SC), fevereiro de 2022: grupo tirou site do ar e deixou mensagem reivindicando o ataque e alterando textos da página principal da prefeitura.
  3. Prefeitura de Juazeiro do Norte (CE), dezembro de 2021: site foi alterado com mensagem contra o isolamento social para enfrentamento da Covid-19; administração esclareceu que apenas front-end foi afetado, sem comprometimento de dados. 
  4. Prefeitura de Brumadinho (MG), dezembro de 2021: sofreu ataque com mensagem de protesto sobre a tragédia causada pela Vale, retirando o site do ar por algumas horas. 
  5. Prefeitura de Manaus (AM), dezembro de 2021: pelo menos 12 sites da prefeitura saíram do ar; responsável deixou mensagem na página, mas prefeitura não deu detalhes sobre o comprometimento de bases de dados.
  6. 245 prefeituras catarinenses, dezembro de 2021: esse ataque afetou em uma só tacada 245 cidades (83% de todo o estado) que tinham sites e serviços hospedados nos servidores da Federação Catarinense de Municípios; os criminosos escreveram mensagens políticas contra medidas de proteção da Covid-19 e em apoio à reeleição de Bolsonaro. 
  1. Prefeitura de Barcarena (PA), outubro de 2021: coletivo publicou mensagem contra a administração da cidade, que expulsou moradores de uma comunidade quilombola na região.
  2. Prefeitura de Fama (MG), agosto de 2021: neste ataque, o nome de Bolsonaro foi publicado no lugar do vice-prefeito e o do prefeito, alterado para “hacker sincero”.
  3. Prefeitura de Belo Horizonte (MG), junho de 2021: invasão comprometeu sistema de fiscalização da Prefeitura e interrompeu trabalho dos fiscais; mensagem exibida nas telas dos computadores da prefeitura atacava o prefeito e as medidas de combate à pandemia. 
  4. Prefeitura de Serra Negra (SP), junho de 2021: ataque publicou mensagens ofensivas no site da prefeitura. 
  5. Câmara Municipal de Santa Cruz do Sul (RS), abril de 2021: ataque de grupo tirou site do ar e deixou mensagens provocativas para administradores do sistema.
  6. Prefeitura de Mato Rico (PR), dezembro de 2020: ataque retirou sites da prefeitura do ar por pelo menos 24 horas.
  7. Prefeitura de Praia Grande (SP), fevereiro de 2021: ataque postou, no site oficial da cidade, uma fotografia do ator David Hasselhoff, famoso pelo seriado S.OS. Malibu. 
  8. Prefeitura de Caraguatatuba (SP), maio de 2020: página oficial da cidade amanheceu com a foto de Bolsonaro, usando máscara com dizeres anticorrupção e alusivos às eleições de 2022. Grupo que assumiu a autoria divulga em redes sociais ataques semelhantes a outros órgãos públicos.
  9. Prefeitura de Foz do Iguaçu (PR), fevereiro de 2020: página oficial da cidade foi invadida e imagem com dados do prefeito foi publicada; nota da prefeitura diz que causa foi a senha de um usuário, considerada fraca. 

DESVIO DE RECURSOS

Por causa da infecção de máquinas com vírus, contas bancárias são afetadas.

  1. Câmara Municipal de Cachoeiro de Itapemirim (ES), fevereiro de 2022: cerca de R$ 200 mil foram desviados — e estornados pela Caixa Econômica Federal. 
  2. Prefeitura de Euclides da Cunha Paulista (SP), dezembro de 2021: mais de R$ 500 mil foram desviados das contas dos setores de convênio da educação, da saúde e do Tesouro Municipal. 
  3. Prefeitura de Matelândia (PR), dezembro de 2021: valores que ultrapassam R$ 410 mil foram retirados de várias contas da cidade e instituições bancárias se negaram a estornar; prefeitura cobra na justiça. 
  4. Prefeitura de Jauru (MT), agosto de 2021: R$ 370 mil foram desviados de contas da cidade, sem mais explicações sobre o método. 
  5. Prefeitura de Santa Cruz do Xingu (MT), julho de 2021: seis transferências atribuídas a hackers desviaram, no total, R$ 113 mil das contas da prefeitura.
  6. Prefeitura de Jaboticatubas (MG), junho de 2021: R$ 2,9 milhões de reais desapareceram das contas da cidade em menos de 1 hora, que foram desviados em 42 transferências. 
  7. Prefeitura de Campinas (SP), junho de 2021: ataque causou desvio de R$ 7,4 milhões da conta que a prefeitura usa para receber pagamentos do IPTU; polícia trabalha com a hipótese de ataque a computadores da Secretaria de Finanças. 
  8. Prefeitura de Virgolândia (MG), maio de 2021: invasores retiraram R$ 152 mil dos cofres municipais depois que um arquivo infectado por vírus foi aberto por uma servidora que trabalha no Tesouro, acreditando se tratar de uma nota fiscal; gestão diz que conseguiu recuperar a soma.
  9. Prefeitura de Piratini (RS), abril de 2021: invasores fizeram 12 transações nas contas da Prefeitura no valor de mais de R$ 500 mil. 
  10. Santa Rosa de Lima (SC), abril de 2021: invasores retiraram recursos de quatro contas da cidade, somando R$ 300 mil. Valor foi recuperado
  11. Prefeitura de Imbuia (SC), março de 2021: ataque desviou quase R$ 2 milhões por meio de Pix, um tipo de transação que sequer era adotado pela gestão. O valor representa dois meses de toda a arrecadação do município, que tem pouco mais de 6 mil habitantes. 

SEM INFORMAÇÕES SOBRE MÉTODO

As notícias são tão superficiais que não permitem identificar o tipo de ataque.

  1. Prefeitura de Curitiba (PR), março de 2022: ataque cibernético “travou” o sistema de transporte público da cidade, como recargas de bilhete; quase 60% das linhas urbanas têm pagamento exclusivo por cartão de transporte. 
  2. Prefeitura de São Sebastião do Caí (RS), fevereiro de 2022: ataque impediu o pagamento de servidores municipais — servidores da Secretaria da Fazenda trabalharam durante todo o período de carnaval para refazer os cálculos da folha, após perda de dados. Já havia ocorrido em 2019, e a prefeitura alegou ter tomado medidas como instalar “antivírus”.  
  3. Prefeitura de Limeira do Oeste (MG), janeiro de 2022: a cidade levou 13 dias para recuperar as informações e refazer processos, atrasando pagamento dos funcionários.
  4. Prefeitura de Teresina (PI), dezembro de 2021: sistemas da Prefeitura e de diversas instituições públicas saíram do ar depois de o governo do Estado ter tornado os domínios e subdomínios pi.gov.br indisponíveis como “medida preventiva” a ataques. 
  5. Prefeitura de Campo Grande (MS), dezembro de 2021: também retirou site do ar como “medida preventiva” por ataque ao Ministério da Saúde, alegando que município não foi afetado. 
  6. Prefeitura de Caicó (RN), dezembro de 2021: página da Prefeitura saiu do ar após ataque, mas gestão afirmou que dados não foram comprometidos
  7. Prefeitura de Cáceres (MT), dezembro de 2021: sistema da Secretaria Municipal da Fazenda ficou fora do ar e impediu emissão de notas fiscais; não há informação sobre origem e motivos, mas a administração diz que está trabalhando para restabelecer e recuperar o banco de dados”
  8. Prefeitura de Ribeirão Pires (SP), outubro de 2021: ataque levou cidade a suspender todos os atendimentos.
  9. Prefeitura de Vitória (ES), outubro de 2021: mais de cem serviços da cidade saíram do ar e ficaram quase uma semana indisponíveis, incluindo pagamento de impostos; alunos foram orientados a não acessar sistema de ensino a distância. 
  10. Prefeitura de Macaé (RJ), junho de 2021: segundo administração da cidade, “servidores importantes foram infectados e muitos dados acabaram corrompidos, deixando a maioria dos sistemas internos indisponíveis”, depois de um computador da rede ter sido infectado por malware. 
  11. Prefeitura de Águas Lindas de Goiás (GO), junho de 2021: site foi retirado do ar e serviços foram suspensos após ataque. 
  12. Prefeitura de Cassilândia (MS), maio de 2021: ataque provocou perda de dados e derrubou sistema de cobrança da prefeitura e do departamento de gestão de água, mas administração disse ter backup. Segundo a gestão, isso já vinha sendo prevenido desde que, em 2014, dados de 8 meses de trabalho foram perdidos.
  13. Prefeitura de Campo Limpo Paulista (SP), março de 2021: ataque inseriu mensagem com nome do grupo que teria sido responsável pela invasão;
  14. Prefeitura de Itabirito (MG), fevereiro de 2021: serviços ficaram indisponíveis após tentativa de ataque, que não foi explicado na nota divulgada pela cidade. 
  15. Prefeitura de Saquarema (RJ), fevereiro de 2021: ataque deixou sistemas da cidade fora do ar e administração afirmou que nenhum dado dos contribuintes foi vazado.
  16. Prefeitura de Balneário Camboriú (SC), janeiro de 2021: invasão parou sistemas da prefeitura por dias, atrasando pagamento de funcionários e fornecedores. Segundo portal da região, não havia backup — e, logo após o episódio, gestão decidiu gastar R$ 1,3 milhão em soluções para salvaguardar arquivos. A administração chegou a dizer que ataque ocorreu devido à falta de atualização de computadores que utilizam Windows 10.  
  17. Prefeitura de Volta Redonda (RJ), maio de 2020: site oficial fica mais de um dia fora do ar por tentativa de invasão. 
  18. Prefeitura de Umuarama (PR), julho de 2019: prefeitura disse ter sido alvo de ataque que suspendeu o atendimento de serviços por diversos dias.

DDoS 

Ou ataques distribuídos de negação de serviços, quando o excesso de requisições a um site acaba por derrubá-lo

  1. Prefeitura de Cuiabá (MT), março de 2021: prefeito registrou boletim de ocorrência após alegar que o site de vacinação da cidade teria sofrido ataque que causou sobrecarga nos agendamentos. 
  2. Prefeitura de Boituva (SP), abril de 2021: sistemas de cadastro para vacinação saíram do ar após ataque de 200 mil requisições por segundo.
  3. Prefeitura de Divinópolis (MG), fevereiro de 2021: sistema de cadastro de vacina para profissionais da saúde sofreu ataque com excesso de requisições e ficou fora do ar.
  4. Prefeitura de Chapecó (SC), janeiro de 2021: informações são escassas mas, pela descrição, o caso se assemelha a ataque de negação de serviços, que provocou lentidão e instabilidade no site oficial da cidade.

Um agradecimento especial a Marcelo Soares (Lagom Data) pelo mapa!

5

2 respostas para “Municípios à deriva: sem segurança digital, mais de 300 foram atacados em 3 anos”

  1. Avatar de Rafael Belokurows
    Rafael Belokurows

    Muito interessante, Fernanda, adorei o seu artigo! Existe uma versão que poderia ser compartilhada destes e dados em formato tabular?

  2. Avatar de Leonardo Baruco
    Leonardo Baruco

    Excelente artigo!!! Parabéns!!!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *