O ciberataque recente contra uma empresa que presta serviços à agência de Alfândega e Proteção de Fronteiras americana (CBP) não expôs apenas os rostos de milhares de viajantes americanos e as chapas de seus carros. Deixou exposto também o funcionamento interno de uma rede complexa de vigilância que as autoridades da fronteira procuram há muito tempo manter em sigilo.
Funcionários da CBP minimizaram a importância do material roubado, dizendo apenas que menos de 100 mil fotos de viajantes foram comprometidas e que nenhuma delas foi postada na chamada dark web, o canto da internet onde documentos roubados frequentemente são mostrados e vendidos.
Mas essa avaliação subestima tremendamente o número de documentos sensíveis que agora estão livremente disponíveis na internet. É tanto material, num total de centenas de gigabytes, que os computadores do jornal The Washington Post precisaram de vários dias para descarregar tudo.
Os documentos oferecem uma visão íntima do maquinário do qual dependem as autoridades americanas para monitorar constantemente a imigração legal pela fronteira. Eles também lançam luz sobre os planos do governo para ampliar a utilização de leitores de chapas de carros e câmeras de reconhecimento facial, incluindo detalhes como o número de câmeras voltadas para quais pistas rodoviárias em alguns dos pontos de travessia mais movimentados do mundo.
O manancial de documentos hackeados inclui esquemas detalhados, acordos confidenciais, listas de equipamentos, planilhas de orçamentos, fotos internas e planos de hardware de sistemas de segurança.
Entre os materiais governamentais potencialmente sensíveis há manuais internos do Departamento de Segurança Interna, diagramas de vigilância da fronteira e dezenas de acordos de confidencialidade assinados entre prestadores de serviços e agências governamentais, além de empresas como a Microsoft e a gigante do setor da defesa Northrop Grumann. Estas duas últimas não responderam a pedidos de declarações.
Os arquivos também trazem detalhes extensos sobre equipamentos instalados em bases militares americanas e nos postos de travessia da fronteira americana onde o tráfego é mais intenso.
“Isto tudo é material irresistível para a concorrência... e para todo um conjunto de terroristas e criminosos nacionais e internacionais que possam estar interessados em fazer uso dessas informações”, comentou Joseph Lorenzo Hall, diretor de tecnologia do think tank Center for Democracy and Technology, de Washington.
“Os materiais pirateados possibilitam uma visão muito nítida das engrenagens da vigilância realizada pelo Estado americano”, ele prosseguiu, acrescentando que as autoridades federais “podem ser obrigadas a mudar algumas coisas operacionais imediatamente, antes que alguém faça uso das informações”.
Vistos como um todo, os documentos oferecem um vislumbre raro de como o governo americano depende de um pequeno grupo de empresas privadas pouco conhecidas para arregimentar seus esforços de monitoramento de quem entra e sai dos Estados Unidos.
A firma cujos sistemas computadorizados parecem ter sido invadidos é a Perceptics, uma presença pouco conhecida entre as prestadoras de serviços para o governo federal. Trata-se de uma firma fundada há 40 anos e com sede modesta num centro comercial em Farragut, Tennesse, um subúrbio de Knoxville.
Muitos defensores dos direitos de privacidade disseram que nunca haviam ouvido falar dela até recentemente. Mas os documentos hackeados mostram que sua tecnologia ajuda a formar o núcleo de um aparato de segurança que nos últimos dez anos fotografou virtualmente todos os veículos que atravessaram a fronteira, em um processo pouco sujeito à fiscalização pública.
Os hackers postaram os documentos roubados na dark web, onde os arquivos ficam escondidos dos motores de busca e só podem ser acessados com softwares especiais, como o navegador Tor, que permitem encriptação aumentada e garantem anonimato ao usuário.
O Washington Post obteve um link ao diretório da dark web que os hackers enviaram primeiramente ao Register, um site britânico de notícias de tecnologia. Desde então alguns dos documentos foram postados na internet maior pela organização Distributed Denial of Secrets (Negação Distribuída de Segredos), de modo que possam ser mais facilmente acessados por um público maior.
O Washington Post forneceu um apanhado detalhado do teor desta reportagem à CBP e a representantes da Perceptics antes de sua publicação, mas nenhuma das duas deu qualquer declaração a respeito. Nenhum dos documentos que o jornal reviu estava marcado como sendo confidencial.
Os documentos incluem registros detalhados sobre contratos da CBP de centenas de milhões de dólares, válidos por vários anos, cobrindo upgrades de tecnologia em todos os postos de entrada no país. Eles abrangem os nomes exatos, custos e quantidades de componentes de hardware para vários pontos de entrada, incluindo San Ysidro, o maior ponto de entrada entre os EUA e o México e um dos postos de travessia de fronteira mais movimentados do mundo.
Uma apresentação em PowerPoint datada de abril parece descrever uma visita recente de representantes da CBP que fizeram uma tour do posto de travessia e um teste prático do uso dos scanners de chapas de veículos.
A apresentação descreveu sistemas que a Perceptics estava testando para “captura de rostos para identificação biométrica”, incluindo exemplos dos rostos de motoristas sendo fotografados e analisados. “Superamos o problema dos rostos bloqueados”, dizia a apresentação, aludindo a rostos obscurecidos por óculos de sol ou visores de carros.
Os registros também incluem uma gama exaustiva de fotos captadas por leitores de chapas de veículos –aparelhos que podiam ser fixos, segurados nas mãos ou móveis— fabricados pela Perceptics, que informou que seus scanners fotografam mais de 200 milhões de chapas de veículos por ano.
Muitos dos documentos incluem fotos de um único carro, caminhão ou motocicleta feitas de vários ângulos, mostrando a chapa, o veículo e o rosto do condutor.
Documentos de contratos dos últimos dez anos mostram que o papel da Perceptics no trabalho de segurança federal não se limita aos leitores de chapas de veículos, mas abrange também outros equipamentos, como “sistemas de vigilância debaixo de veículos” para detectar possíveis bombas, fornecidos a postos de travessia da fronteira americana, checkpoints da DEA (a agência antidrogas americana), bases militares e estações aéreas.
Documentos financeiros sugerem que a Perceptics já trabalhou também com autoridades dos Emirados Árabes Unidos e com uma unidade de forças especiais na Arábia Saudita.
Também estão disponíveis documentos internos da empresa, incluindo extratos financeiros, orçamentos de projetos, senhas internas, material de marketing e vendas e dados sobre as revisões de performance dos funcionários, dados salariais e sobre cobertura de seguro.
Pouco é sabido sobre os detalhes específicos do ciberataque. A CBP reconheceu a invasão em declaração feita em 10 de junho, dizendo que tomou conhecimento do ciberataque em 31 de maio.
Segundo essa declaração, não foram invadidas redes ou bancos de dados da CBP e a agência “ainda não verificara” que os dados roubados eram ligados a ela.
A agência acusou uma prestadora de serviços, que não identificou, de ter deixado materiais confidenciais vulneráveis a ser atacados, dizendo que a empresa em questão violou regras da agência, pelo fato de ter copiado cópias de placas de veículos e imagens de condutores para sua rede particular.
Mas esse relato deixa muitas perguntas sem resposta, incluindo como a CBP primeiro tomou conhecimento do ataque. Jornalistas do Register publicaram uma reportagem sobre o hack em 23 de maio, oito dias antes de a CBP tomar conhecimento dele, segundo sua declaração.
A reportagem do Register deu detalhes sobre o conjunto de documentos pirateados e disse que parecia incluir muitas imagens de chapas de veículos.
Representantes da CBP se negaram a dar maiores declarações, citando uma investigação forense em curso que “vai determinar as fontes originais dos dados e fornecer as informações precisas para assegurar que sejam tomadas as medidas necessárias”.
Representantes da Perceptics também se negaram a dar declarações. A CBP não confirmou que a empresa envolvida na invasão digital foi a Perceptics, mas o nome da empresa aparece em muitos dos arquivos, e a declaração da CBP enviada ao Washington Post na semana passada incluía “Perceptics” no título do documento.
Várias outras questões continuam em aberto. A CBP disse que desativou todos os equipamentos relacionados à invasão cibernética, mas não deu maiores detalhes. E ela se negou a informar como os hackers invadiram os sistemas da prestadora de serviços, por quanto tempo tiveram acesso aos materiais confidenciais e se outras empresas também foram alvos de ataques.
Em carta enviada na semana passada aos líderes do Departamento de Segurança Interna, o senador republicano Rick Scott, da Flórida, perguntou o que a CBP fez para prevenir invasões futuras e quis saber se os motoristas afetados foram notificados, destacando que “qualquer coisa menos que transparência total será inaceitável”.
Em carta separada, o senador democrata Edward Markey, do Massachusetts, perguntou se o FBI (a polícia federal americana) está tomando medidas e se outras informações pessoais de viajantes podem estar em risco. Representantes dos senadores disseram que a CBP ainda não respondeu oficialmente às suas cartas. O FBI disse que perguntas devem ser encaminhadas à CBP.
A ação também suscita dúvidas quanto ao cuidado com que as autoridades federais monitoram empresas privadas que lhe prestam serviços para verificar como cumprem as tarefas que lhes são confiadas.
A administração Trump vem voltando atenção intensa à fronteira entre México e EUA, com detenções em massa e medidas de segurança como a iniciativa de “verificação extrema” sendo anunciadas como cruciais para reforçar a segurança nacional.
Mas essas táticas são rejeitadas fortemente por alguns parlamentares, para os quais o esforço das autoridades federais para coletar cada vez mais dados em nome da segurança maior cria uma rede permanente de informações que pode prejudicar as pessoas.
“É vergonhoso que o Departamento de Segurança Interna pode ter deixado que os dados sobre pessoas fossem comprometidos. Mas este caso também traz à tona os riscos de se realizar essa coleta de dados, para começo de conversa”, disse Markey em comunicado esta semana. “Esses dados pessoais e sensíveis viram uma mina de ouro para criminosos, e os efeitos para as vítimas de uma invasão de sistemas podem ser devastadores.”
Mais de 1 milhão de pessoas atravessam a fronteira americana diariamente nos postos de travessia, segundo a CBP, das quais cerca de 300 mil em carros, picapes e outros veículos de passeio. Para vigiá-los, o governo depende dos serviços de empresas como a Perceptics, que em 2015 disse ser a única fornecedora de scanners de chapas usados em inspeções de veículos de passeio “em todos os pontos de entrada terrestres nos Estados Unidos, Canadá e os pontos mais críticos no México”.
Funcionários do Departamento de Segurança Interna dizem que os scanners de chapas de veículos são uma ferramenta importante para “identificar, deter e remover” pessoas que atravessam a fronteira ilegalmente. Mas as informações sobre todos os veículos que atravessam a fronteira são registradas em um banco de dados que é disponibilizado para mais de uma dúzia de agências federais. Isso inclui os dados de motoristas não acusados de crimes.
Dados sobre os veículos, localização, data e horário da travessia podem ser armazenados nos servidores do Departamento de Segurança Interna por até dois anos, ou mais “se estiverem ligados a uma investigação policial ativa”, disseram funcionários do departamento em 2017.
Leitores de chapas de veículos também são posicionados ocultos nas proximidades de rotas conhecidas usadas por contrabandistas e são instalados em veículos da CBP, permitindo que os agentes registrem a chapa de cada veículo que passa ao lado.
Dave Maass, pesquisador investigativo sênior da organização de defesa dos direitos digitais Electronic Frontier Foundation, que estuda a vigilância policial, disse que a Perceptics é “virtualmente desconhecida”.
Mais conhecida que ela seria a Vigilant Solutions, cuja tecnologia de leitura de chapas de veículos é usada pelo ICE (o serviço de controle de imigração e alfândegas dos EUA) e departamentos policiais locais.
Para Maass, as duas empresas se beneficiaram do relacionamento cada vez mais estreito entre o governo e as empresas de tecnologia de vigilância.
“Há um desequilíbrio de poder na tomada de decisões: as discussões se dão entre as agências de policiamento e representantes das empresas, sem o envolvimento do público e dos responsáveis por traçar as políticas públicas”, ele comentou. “Essas agências não deveriam colher mais dados do que são estritamente necessários, nem colher dados que não sejam capazes de proteger absolutamente.”
Ainda não está claro quem comandou o ataque. Um hacker que usa o pseudônimo "Boris Bullet-Dodger" foi o primeiro a entrar em contato com jornalistas no mês passado e oferecer uma lista dos arquivos roubados. Um site na dark web atribui o ataque à Team Snatch, organização cibercriminosa que já reivindicou outros ataques digitais contra empresas e tentativas de pedir resgate por dados hackeados.
Um site na dark web que traz uma lista de arquivos da Perceptics também inclui grandes conjuntos de dados supostamente roubados de outras empresas, entre elas uma consultoria corporativa de Nova York, uma firma alemã de sistemas computadorizados e uma firma de contabilidade do Texas.
Para alguns especialistas, a invasão cibernética da Perceptics pode servir de referência em matéria dos riscos representados pela ampliação da vigilância governamental. R
achel Levinson-Waldman, advogada sênior do think tank Brennan Center for Justice, destacou que novas regras do Departamento de Estado exigem que todos que pedem um visto de entrada nos EUA devem dar detalhes sobre as contas de mídia social que usaram nos últimos cinco anos.
“Este tipo de ciberataque ressalta os perigos da coleta maciça de informações sensíveis”, disse Levinson-Waldman. “E não deveria nos surpreender. A coleta em grande escala de dados pessoais encerra consequências. O Congresso precisa exercer fiscalização rígida e exigir que as agências limitem os dados sensíveis que coletam e garantam a proteção dos dados em sua posse.”
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.