Afinal, não foi só a PLMJ. Morais Leitão, VdA e Abreu também foram alvo do hacker Rui Pinto

Morais Leitão, Vieira de Almeida e Abreu Advogados. Estas três sociedades de advogados – que fazem parte do top ten dos maiores escritórios de advogados em Portugal – foram também alvo do hacker português, Rui Pinto. Segundo a acusação do Ministério Público – a que o ECO teve acesso mas divulgada em primeira mão pela revista Sábado –relativamente a novas investigações mas que nasceram do primeiro processo em que Rui Pinto é arguido e cuja decisão é conhecida esta quinta-feira, foram ainda alvo de ataque informático as sociedades CCA, Vaz Serra & Associados, Caldeira, Cernadas, Sousa Magalhães e Associados, Esteves, Ribeiro, Araújo & Associados, Barrocas & Associados, RPS Advogados e a Pacheco de Amorim.

Mas no conteúdo da acusação, a investigação relativa a acesso ilegítimo aos sistemas informáticos do Clube Desportivo do Tondela, Futebol Clube do Porto, Clube Desportivo Nacional, Vaz Serra e Associados, Câmara Municipal de Cascais/ Carlos Carreiras, Promovalor, RPS Advogados, Partners 2U, SIGA Lisboa, Abreu Advogados e a Pacheco de Amorim, sociedade de advogados, foi autonomizada para outro processo que se encontra ainda em investigação. “Assim, determina-se a extração de certidão em formato digital da integralidade destes autos para continuação da investigação dos factos que implicam acessos ao sistema informático, correio eletrónico e ou dispositivos particulares de colaboradores”.

O documento – assinado pela procuradora Vera Camacho – revela que foram alvo do hacker os advogados Carlos Osório de Castro, Paulo Rendeiro, Pedro Pardal Goulão (sócios da Morais Leitão), Hugo Vaz Serra (sócio da Vaz Serra & Associados), Hugo Teixeira (da Abreu Advogados), Henrique Salinas (sócio da CCA), João Vieira de Almeida e Miguel Pinto Cardoso (senior partner e sócio da Vieira de Almeida).

Contactada pelo ECO, a Morais Leitão assume que foi notificada na semana passada da acusação deduzida contra Rui Pinto. “Os factos relativos à sociedade eram já conhecidos desta e respeitam a um incidente isolado ocorrido em 2017, que mereceu resposta rápida dos nossos serviços de segurança informática. Até à data, não existem evidências de qualquer outro incidente, acesso ou intrusão nos nossos sistemas informáticos ou a informação de clientes”, segundo fonte oficial do escritório garantiu ao ECO. O incidente a que se refere a Morais Leitão em 2017, de comprometimento de credenciais de um utilizador, permitiu a Rui Pinto configurar uma mailbox da Morais Leitão, cujo acesso poderá ter ocorrido até 2019.

Já a Vieira de Almeida remete para a resposta dada ao ECO, em janeiro de 2020. Mas acrescenta, esta segunda-feira ao ECO, que “esta acusação confirma que houve uma situação de hacking a que estivemos sujeitos entre 2017 e 2018; o que, por sua vez, confirma plenamente aquilo que referimos na nossa resposta de 2020 (a informação “é incorreta e profundamente enganadora. Faz referência a uma situação de hacking ocorrida há mais de dois anos…”. Ou seja: “em 2020 confirmámos uma situação ocorrida 2 anos antes, a qual foi agora objeto de acusação”.

Da parte da Abreu Advogados, fonte oficial garante que o escritório “não tem registo de acesso indevido ou extração de informação. Os nossos servidores registaram, em 2018, a tentativa de um acesso externo não autorizado mas que não foi bem-sucedido – uma vez que a Abreu Advogados tem um sistema de Multi Factor Authentication (MFA), no âmbito do nosso plano e sistema de cyber segurança, em que não basta utilizar as credenciais de um advogado para entrar no sistema”.

Morais Leitão: um dos principais alvos

A acusação descreve como a 15 de maio de 2017 Rui Pinto acedeu ao e-mail do advogado Carlos Osório de Castro, advogado de Cristiano Ronaldo, configurou-a no seu próprio email para “a exfiltrar e aceder sem restrição até 16 de janeiro de 2019”. Pelo correio eletrónico de Osório de Castro circulavam comunicações com clientes e colegas, documentos pessoais e contratos, incluindo informação de Cristiano Ronaldo.

No total, foram quase dois anos de acesso ilegítimo por Rui Pinto ao mailbox do sócio da Morais Leitão.

O arguido, após exfiltrar a caixa de correio de Carlos Osório de Castro, acedeu ao seu conteúdo sem restrição pelo menos até 16 de janeiro de 2019. Para além disso, o arguido Rui Pinto teve, ainda, acesso às credenciais das contas particulares de correio eletrónico de Carlos Osório de Castro. Por configuração criada pela sociedade, a pedido de Carlos Osório de Castro, as mensagens de correio por este recebidas na caixa de correio profissional, eram encaminhadas automaticamente para o endereço pessoal, pelo menos até junho de 2017.

0 arguido Rui Pinto teve, ainda, conhecimento das credenciais de acesso à sua conta na plataforma da Baker Mackenzie e dos códigos do cartão de crédito do advogado, que utilizou até ao ano de 2021. “Por forma que se desconhece, Rui Pinto teve conhecimento, igualmente, de informação sobre os dados de acesso à dropbox de Pedro Pardal Goulão – bem como da data de nascimento e número de telemóvel associado à conta de Paulo Castro Rendeiro, sócio da ML“, diz a acusação do MP.

Servidores da Vieira de Almeida vigiados por Rui Pinto

No período compreendido entre 30 de novembro de 2017 e até 2 de Janeiro de 2018, o arguido Rui Pinto acedeu à estrutura, serviços e computadores da rede interna da Vieira de Almeida.

Segundo o MP, no período acima referido, o arguido Rui Pinto “explorou a estrutura por forma que lhe permitiu alcançar um website interno. Efetuou 28 acessos a partilhas de rede e realizou 115 acessos remotos a computadores”. E exfiltrou, em concreto, caixas de correio do, à data, managing partner João Vieira de Almeida e do sócio Miguel Pinto Cardoso. Em dia não apurado, mas próximo de 17 de Dezembro de 2017, o arguido Rui Pinto, após aceder ao sistema informático do escritório, através do uso de um IP húngaro e por meio de uso de credenciais de um utilizador do sistema, exfiltrou e apagou dois documentos. “Tais documentos diziam respeito a um cliente da Sociedade de Advogados e estavam guardados dentro de pasta com a sua respetiva identificação, juntamente com informações trocadas a coberto da relação advogado/cliente e mensagens de e-mail. Em 24 de dezembro de 2018, o arguido Rui Pinto copiou dois ficheiros com tamanho total de 118,602 MiB”, diz a acusação.

Por via dos referidos acessos ao sistema informático e caixas de correio eletrónico, o arguido torneou conhecimento de informação confidencial e sujeita a sigilo de advogado, “para o que não estava autorizado”, diz ainda a magistrada Vera Camacho.

Em setembro de 2020, a Polícia Judiciária (PJ) já tinha confirmado que a Vieira de Almeida (VdA) teria sido alvo de ataque informático de Rui Pinto e que essa violação na correspondência eletrónica de um dos três maiores escritórios portugueses estava a ser alvo de investigação, num processo autónomo.

Segundo o inspetor da PJ, José Amador, na audiência de julgamento do primeiro processo que envolve Rui Pinto (ver abaixo) o escritório de advogados que representava a Doyen terá sido igualmente visado – à semelhança do que foi imputado a Rui Pinto no primeiro processo, prestes a chegar ao fim, em relação ao Sporting, Doyen, Federação Portuguesa de Futebol, à sociedade de advogados PLMJ e à Procuradoria-Geral da República – por ter sido encontrada uma denúncia do CEO do fundo de investimento à então procuradora-geral Joana Marques Vidal nos dispositivos apreendidos ao criador da plataforma.

“No meio de outras entidades que tiveram o mesmo tipo de problema foi o escritório de advogados que representava a Doyen, a Vieira de Almeida. Com elevada probabilidade, [os documentos] terão sido exfiltrados do escritório Vieira de Almeida”, afirmou a testemunha do processo Football Leaks na audiência de julgamento, sublinhando que foi extraída uma certidão deste processo e que estava nessa altura em investigação e sob segredo de justiça. E que, por isso, disse o inspetor, não pôde revelar mais pormenores ao coletivo de juízes e audiência. À data, contactado pelo ECO, fonte oficial do escritório de João Vieira de Almeida não quis comentar o facto.

Mas em janeiro desse mesmo ano, oito meses antes, a sociedade de advogados Vieira de Almeida garantia ao ECO/Advocatus que não tinha sido alvo de pirataria informática no âmbito deste processo. “Essa informação está totalmente incorreta e profundamente enganadora. Faz referência a uma situação de hacking ocorrida há mais de dois anos, não havendo, como admite a própria notícia, qualquer evidência de ligação ao Luanda Leaks”.

À data do primeiro processo, apenas a violação à correspondência eletrónica e ao sistema informático da PLMJ foi alvo de investigação deste processo e cujo julgamento está prestes a chegar ao fim.

O primeiro processo: Rui Pinto acusado de 90 crimes em março de 2019

Dois anos e sete meses após o início do julgamento, a leitura da decisão está marcada para 13 de julho, depois de terem sido alegadas alterações dos factos relativas ao Sporting e à Doyen.

Rui Pinto estava acusado de 90 crimes, sendo 68 de acesso indevido, 14 de violação de correspondência, seis de acesso ilegítimo, visando entidades como o Sporting, a Doyen, a sociedade de advogados PLMJ, a Federação Portuguesa de Futebol (FPF) e a Procuradoria-Geral da República (PGR), e ainda por sabotagem informática à SAD do Sporting e por extorsão, na forma tentada. Este último crime diz respeito à Doyen e foi o que levou também à pronúncia do advogado Aníbal Pinto.

Entre os visados estão Jorge Jesus, Bruno de Carvalho, o então diretor do DCIAP Amadeu Guerra e os advogados José Miguel Júdice, João Medeiros, Rui Costa Pereira e Inês Almeida Costa.

Em 2019 Rui Pinto assumiu que era o criador do site “Football Leaks”, criado em 2015. Segundo o arguido, esta plataforma surgiu após a divulgação do escândalo de corrupção na FIFA, que levou à detenção de vários dirigentes, e tinha como objetivo divulgar a “parte oculta do futebol”. Assim, a partir de Budapeste e através desta plataforma, Rui Pinto divulgou diversos documentos polémicos sobre futebol nacional e mundial.

No âmbito de um mandato de detenção europeu, foi detido no dia 16 de janeiro de 2019 em Budapeste. Após o “rebentar” do escândalo, em março de 2019, Rui Pinto foi entregue pelas autoridades húngaras à justiça portuguesa, tendo ficado em prisão preventiva no âmbito de um inquérito do Departamento Central de Investigação e Ação Penal. Inicialmente foi apenas indiciado por seis crimes.

Rui Pinto esteve em prisão preventiva entre o dia 22 de março de 2019 e 8 de abril de 2020 e em prisão domiciliária até ao dia 7 de agosto de 2020, tendo sido libertado “devido à sua colaboração” com a PJ e ao seu “sentido crítico”, mas está, por questões de segurança, inserido no programa de proteção de testemunhas em local não revelado e sob proteção policial.

O segundo processo: Rui Pinto acusado de 377 crimes em Junho deste ano

Na sexta-feira, foi tornado público que o Ministério Público abriu um novo processo contra Rui Pinto, fundador do Football Leaks, no qual é acusado de 377 crimes: 202 são de acesso ilegítimo qualificados, 134 de crimes de violação de correspondência, 23 de violação de correspondência agravados e 18 de dano informático.

A acusação tem por base o facto de o hacker ter acedido ao sistema informático do Benfica e posteriormente ter entregado e-mails ao diretor de comunicação do Futebol Clube do Porto, Francisco J. Marques. Além disso, Rui Pinto terá acedido de forma indevida às caixas de correio eletrónico de vários procuradores, juízes, advogados, empresas de Isabel dos Santos, a Liga de Clubes e jornalistas.

“A investigação não se mostra finda e não se prevê que o órgão de polícia criminal a quem foi atribuído o encargo de proceder à mesma (Polícia Judiciária) a venha a finalizar nos meses próximos“, escreve a procuradora do Departamento Central de Investigação e Ação Penal.

O que diz a defesa de Rui Pinto

A defesa de Rui Pinto acusou o Ministério Público (MP) de querer “eternizar o percurso judicial” do criador do Football Leaks, denunciando a sua intenção de avançar com sucessivas acusações ao arguido.

“A presente acusação insere-se na estratégia do Ministério Público de eternizar o percurso judicial de Rui Pinto, uma vez que estão em causa factos alegadamente ocorridos entre 2016 e 2019 e que, por opção da Sra. Procuradora da República, não foram incluídos no processo cujo julgamento já foi realizado e cuja leitura do acórdão se encontra marcada para o próximo dia 13”, refere a equipa de defesa de Rui Pinto, em comunicado.

“Saliente-se que, ao mesmo tempo que deduz esta nova acusação por factos antigos, a Sra. Procuradora anuncia que se seguirá ainda um terceiro processo contra Rui Pinto por outros factos também ocorridos entre 2016 e 2019 e que se reconduzem ao mesmo tipo de crimes, mas que a Sra. Procuradora entendeu também não incluir neste segundo processo, com fundamento em circunstâncias pessoais e absolutamente alheias ao bom funcionamento da justiça”, criticam os causídicos Francisco Teixeira da Mota, William Bourdon e Luísa Teixeira da Mota.

“Este entendimento perverso de que os factos de um processo podem ir sendo sucessivamente divididos e prolongados em novos processos, não visa a realização da justiça, mas, antes, colocar Rui Pinto numa batalha judicial interminável na qual se encontra em desigualdade de armas com a acusação, assim se violando, de forma grave, os seus direitos de defesa e os princípios básicos que presidem ao direito penal”, concluem.