Não é possível saber voto do eleitor a partir do CPF, ao contrário do que alega site falso

“Se o sistema de consulta é fidedigno ou não o tempo dirá, mas até agora não vi ninguém que tenha votado no 13 reclamando que apareceu voto errado no 22, já em sentido contrário, até a falecida Marisa apareceu em São Bernardo para registrar seu voto no ladrão, Xandão e Dilma tbm”, diz a legenda de uma imagem que circula no Twitter, Telegram, TikTok, Instagram e Facebook.

A imagem reúne capturas de tela do site Veja seu voto — que também pode ser acessado pela url seuvoto.info —, onde seria possível consultar o voto do eleitor a partir de seu CPF.

As capturas mostram resultados de consultas feitas usando o CPF do ministro do Supremo Tribunal Federal (STF) Alexandre de Moraes, da ex-presidente Dilma Rousseff (PT) e da ex-primeira-dama Marisa Letícia, que faleceu em fevereiro de 2017. De acordo com o site, os três teriam votado em Luiz Inácio Lula da Silva (PT) no segundo turno das eleições de 2022.

Image

Captura de tela feita em 12 de dezembro de 2022 de uma publicação no Twitter ( .)

Outras alegações produzidas através do site também circulam no YouTube ou foram encaminhadas ao WhatsApp do AFP Checamos, para onde os usuários podem enviar conteúdos vistos em redes sociais, se duvidarem de sua veracidade.

Título de Marisa Letícia está cancelado

Uma consulta no site do Tribunal Superior Eleitoral (TSE) pela situação eleitoral de Marisa Letícia mostra que a inscrição eleitoral da ex-primeira-dama foi cancelada, de modo que não seria possível votar no lugar dela.

Image

Captura de tela feita em 12 de dezembro de 2022 do site do TSE ( .)

Além disso, o número de CPF que aparece nas imagens viralizadas que comprovariam o voto de Marisa Letícia é, na verdade, de Lula, como é possível verificar a partir dos documentos da sua candidatura disponibilizados pelo tribunal eleitoral.

Relação entre CPF e voto

O site é baseado em uma premissa falsa. Não é possível saber em quem um eleitor votou a partir do CPF, já que a urna eletrônica não salva a relação direta entre votante e o candidato escolhido.

Isso ocorre porque o equipamento registra os votos do eleitor em um arquivo digital chamado Registro Digital do Voto (RDV), no qual cada voto é gravado em uma posição aleatória, garantindo que não seja possível, nem mesmo para a Justiça Eleitoral, saber em quem votou um eleitor.

“A relação CPF-voto não fica salva”, reforçou à AFP o professor Paulo Matias, do Departamento de Computação da Universidade Federal de São Carlos (UFSCar).

“Em 2012, a equipe do prof. Diego Aranha (...) encontrou uma vulnerabilidade na forma como o RDV era gerado, que permitia colocar os votos em ordem. Sabendo a ordem do eleitor na fila, ou então sabendo o horário que ele votou (...), essa falha permitia saber em quem o eleitor votou. No entanto, estamos falando de algo que aconteceu há 10 anos — essa vulnerabilidade já foi corrigida há muito tempo”, explicou Matias, acrescentando que, em 2017, participou ao lado de Diego Aranha dos Testes Públicos de Segurança (TPS) e pôde constatar que a falha havia sido corrigida.

No dia 14 de dezembro, o “vejaseuvoto.info” passou a exibir uma seção “Saiba Mais” no qual a plataforma detalha que teria conseguido “quebrar a criptografia e verificar os votos registrados” no TSE usando “o nome registrado nas urnas com informações da biometria e outras informações presentes nesses arquivos de urna”.

Segundo o cientista de dados Marcelo Oliveira, integrante do grupo de divulgação científica Infovid, porém, nenhum arquivo disponibilizado pelo TSE ao público é criptografado. “O que eles são é assinados digitalmente, de modo a qualquer um poder verificar a integridade. O único arquivo que sai da urna que contém voto individual é o RDV. Mas esse não contém nenhuma informação sobre o eleitor e a ordem é embaralhada”.

Site suspeito

Para mostrar como é simples criar uma plataforma como essa, Matias fez sua própria versão do site, o “vejaseuvoto.lol”. A paródia, que foi escrita do zero pelo pesquisador, faz um “sorteio” de qual candidato teria sido escolhido pelo eleitor. “A intenção era apenas mostrar como é fácil fazer um site desse tipo e como o original provavelmente funcionava por baixo dos panos”, explicou.

Segundo Matias, o site original, “vejaseuvoto.info”, também apresentava dados “claramente inconsistentes”.

“Ao procurar o meu CPF, informava que eu não tinha votado (sendo que eu votei), pessoas falecidas apareciam como se tivessem votado, CPFs inválidos como 000.000.000-00 retornavam resultados como se fossem válidos, e pessoas que votaram em um candidato apareciam como se tivessem votado em outro”, exemplificou.

Em 12 de dezembro de 2022, o “vejaseuvoto.info” saiu do ar, mas voltou a funcionar no dia seguinte, comprovou o Checamos.

Quando voltou ao ar, o AFP Checamos testou-o usando o CPF 000.000.000-00, que retornou como inválido. Porém, o CPF 111.111.111-11 trouxe um resultado como se correspondesse a um documento real, sendo que CPFs com todos os dígitos iguais não são considerados válidos.

Image

Captura de tela feita em 13 de dezembro de 2022 de uma consulta no site “vejaseuvoto.info” ( .)

No dia 14 de dezembro, o Checamos voltou a fazer o teste tentando inserir diversos CPFs com todos os dígitos iguais e a página identificou-os como inválidos.

O “vejaseuvoto.info” foi divulgado em uma live feita pelo argentino Fernando Cerimedo em 11 de dezembro de 2022 (1, 2), mas afirmou que não conhecia o site e que não participou de seu desenvolvimento. Cerimedo é responsável pelo canal “La Derecha Diario”, que já teve outras alegações a respeito das urnas eletrônicas brasileiras checadas pela AFP.

Lucas Lago, pesquisador no CEST-USP e desenvolvedor no Projeto7c0, destacou à AFP que é possível ver que o código-fonte do site “foi escrito parcialmente em espanhol. As palavras ‘nombre’ e ‘nacimiento’ aparecem no código do site”. Segundo Lago, é também possível que o site falso coletasse informações como endereço de IP e cookies dos usuários que inseriam seus CPFs para fazer a consulta.

Image

Captura de tela feita em 13 de dezembro de 2022 do código-fonte do site “vejaseuvoto.info” ( .)

“O ‘vejaseuvoto.info’ transmitia o CPF [inserido] para um serviço hospedado na nuvem da Google (cloudfunctions.net). Até o momento, não se sabe qual o responsável por esse serviço, mas a Google pode revelar em caso de solicitação judicial. Não se sabe também o que exatamente esse serviço fazia, então é possível, sim, que ele armazenasse quais CPFs foram consultados”, acrescentou Matias.

Já Oliveira, integrante do grupo de divulgação científica Infovid, avalia que a estrutura do site indica que ele foi criado com o intuito maior de desinformar, não de recolher dados pessoais para roubos e fraudes. “É mais provável que seja desinformação do que phishing. Se fosse um hacker mesmo, ele não hospedaria o site no Google porque você consegue rastrear. Tem um pouco de amadorismo”.

Oliveira analisou uma base de dados de políticos brasileiros disponível no site do TSE para comparar os resultados gerados pelo site. Para fazer a análise, ele usou a API, ou interface de programação de aplicativos, em português, do site para gerar os resultados.

Ainda segundo Oliveira, os resultados obtidos para os supostos votos não foram totalmente aleatórios, já que nomes conhecidos, como o mandatário Jair Bolsonaro e o ex-candidato presidencial Fernando Haddad (PT), apresentaram coerência. Porém, quando usava dados de um político menos exposto, o resultado parecia arbitrário. Segundo a análise, por exemplo, 27,35% dos políticos filiados ao PT teriam votado em Bolsonaro.

Image

Captura de tela feita em 12 de dezembro de 2022 de levantamento feito por Marcelo Oliveira enviado à AFP ( .)

O cientista também acredita que uma base de dados com informações vazadas pode ter sido usada para gerar os resultados. “As consultas eram muito rápidas e isso indica algum tipo de banco de dados por trás usado para pegar as informações de CPF, o que é fácil de achar em sites piratas”.