Benfica processa Google, Automattic, Cloudflare e muitos mais

Mais de um ano de ataques informáticos e fugas de informação resultam numa queixa do Benfica contra “a internet”.

Benfica Google
Foto de João Paulo Ferreira via Flickr

Nos últimos tempos, a actualidade desportiva tem ficado marcada por uma série de fugas de informação oriundas alegadamente dos servidores do Benfica e publicadas no blogue mercadodebenficapolvo.wordpress. Sem garantir a veracidade do material publicado, nem uma auditoria séria que aponte os culpados, temos evitado publicar sobre um assunto ainda em aberto e onde maioria das informações não passam de especulação. Contudo, fazêmo-lo agora, que o caso subiu de tom com o Benfica a processar as entidades que julga cúmplices neste caso.

O primeiro processo judicial a fazer notícia em Portugal era dirigido à Federação Portuguesa de Futebol (FPF) e à Liga Portuguesa de Futebol, apontando-os como possíveis responsáveis pela fuga de informação. Mas as baterias viraram-se para três tecnológicas norte-americanas – a Google, a Cloudflare e a Automattic –, com um processo já entregue no Tribunal californiano.

O que é que aconteceu até aqui?

O Sport Lisboa e Benfica, presidido por Luís Filipe Vieira, tem sido vítima de sucessivas fugas de informação, que têm trazido a descoberto algumas práticas que ainda não se percebeu bem se aconteceram ou se são falsas. A sequência de acontecimentos, que explicamos de seguida, é inédita em Portugal e revela o nível de preparação das instituições para lidar com as diferentes tipologias de crime informático que podem estar em causa.

Primeiro começaram por ser revelados, no blogue supra referido, pacotes gerais de e-mails datados de 2012 ou 2013, com veracidade ainda por confirmar. Esses leaks deram aso a algumas notícias nos jornais portugueses e à criação por parte do Benfica de um gabinete de crise, tendo como um dos principais objectivos evitar a sua disseminação. No final do ano passado, noticiava-se que “Benfica persegue quem descarregou e-mails e ameaça com processos”, e no princípio deste, “Benfica notifica comunicação social para impedir notícias”. Os e-mails publicados indiciavam elementos do Benfica em práticas ilícitas e de viciação do sistema de futebol profissional através de vários esquemas, de acordo com as, ainda assim, poucas notícias dedicadas ao caso.

“Em 2012, “influência” na arbitragem, FPF e comunicação social já era discutida no Benfica” é o título de uma notícia do Expresso, que analisa especificamente um dos pacotes de e-mails leakados, no qual se incluía um PowerPoint com algumas directivas de gestão do clube onde se incluíam as mencionadas no headline.

O caso dos e-mails do Benfica arrefeceu e, durante o Mundial de futebol, o blogue onde habitualmente eram disponibilizados publicava:

Desfrutem do Campeonato do Mundo de Futebol. No mês de Julho, o Mercado voltará em força!

Finda a competição e cumprindo a promessa, o blogue voltou à publicação dos documentos como fizera até então, respeitando o anúncio prévio de o ia fazer, como dantes. A diferença, desta vez, é que as revelações são contratos com poucos meses de existência, sugerindo que o canal de fuga de informação pode continuar em aberto. Foi em sequência deste acontecimento que o Benfica decidiu virar-se para a FPF e a Liga, imputando-lhes a responsabilidade do desvio da documentação confidencial. 

O responsável informático da Federação foi pronto a proceder a uma peritagem e a reportá-la à revista Sábado. Hugo Freitas diz que os meta-dados encontrados nos documentos são idênticos a outros que se podem encontrar em ficheiros anteriormente divulgados, devolvendo a acusação à procedência. Uma cópia da auditoria de segurança feita pela FPF acabou por ser publicada no mercadodebenficapolvo.wordpress.com, acompanhada pela mensagem “Quem vão processar mais?”.

O processo do Benfica às tecnológicas

“Quem vão processar mais?” A resposta não tardou e, provavelmente, já estaria a ser processada. Deu entrada no Tribunal da Califórnia uma participação do Benfica dirigida a pelo menos três grandes tecnológicas, a Google, a Automattic e a Cloudflare, que o clube acusa de cumplicidade na divulgação dos e-mails e respectivos documentos. Em causa está, a conivência apontada pelo Benfica a essas empresas por não terão impedido a publicação dos leaks, nem o acesso dos sites promotores desta prática às suas redes.

Porque é que Google, Automattic e Cloudflare são os alvos deste processo, no mínimo, caricato? O mercadodebenficapolvo.wordpress.com é um blogue WordPress, alojado no serviço WordPress.com da Automattic; e outro blogue, que funciona em lógica complementar, analisando a documentação fornecida, funciona no domínio blogspot.com, que identifica os blogues criados no Blogger, serviço da Google. Já a associação ao Cloudflare surge pela ligação à plataforma de partilha de ficheiros rgho.st, para onde foram carregados alguns dos polémicos documentos.

No entanto, a responsabilidade da Cloudflare pelo material publicado num determinado espaço da internet é dúbia, uma vez que o que esta empresa gere são domínios e não alojamentos. Para além deste ponto, importa ter em consideração de que tipo de entidades estamos a falar e das suas políticas de privacidade. Por exemplo, a citação “um website é um discurso, não é uma bomba” pertence a Matthew Prince, CEO da Cloudflare, e é reveladora da atitude em prol dos utilizadores do serviço que guia a tecnológica.

Os e-mails privados que saíram do Benfica não foram, por estes dias, os únicos protagonistas de pirataria informática. Numa “nota de direcção”, o jornal desportivo Record deu conta de que uma das suas notícias tinha hackeada. O mais caricato é que, segundo alguns utilizadores reportaram no Twitter, também essa nota terá sido alvo de alterações à posteriori, com uma mensagem apontando cumplicidade entre o responsável do jornal desportivo e o clube da luz.