Milhões de emails militares dos EUA foram direcionados erroneamente para o Mali, país da África. O engano ocorreu por meio de um erro de digitação que expôs informações confidenciais, incluindo documentos diplomáticos, declarações fiscais, senhas e detalhes de viagens de autoridades.
Apesar de repetidos avisos ao longo de uma década, um fluxo constante de emails continua a chegar ao domínio ".ml", o identificador de país do Mali. A falha é resultado de erros de digitação de ".mil", o sufixo de todos os endereços de email militares dos EUA.
O problema foi identificado pela primeira vez há quase uma década por Johannes Zuurbier, empresário holandês da internet que tem um contrato para administrar o domínio do Mali.
Zuurbier coleta emails mal direcionados desde janeiro, num esforço para persuadir os EUA a levarem o assunto a sério. Ele detém 117 mil mensagens —quase mil chegaram apenas no último dia 12. Em carta enviada aos EUA no início de julho, escreveu: "Esse risco é real e pode ser explorado por adversários".
O controle do domínio ".ml" seria repassado na segunda-feira (17) de Zuurbier para o governo do Mali, que não respondeu a pedidos de comentários e é um aliado próximo da Rússia. Quando expirar o contrato de gestão de dez anos de Zuurbier, autoridades malianas poderão receber os emails mal direcionados.
Diretor-gerente do Mali Dili, com sede em Amsterdã, Zuurbier abordou funcionários americanos várias vezes, por meio de um adido de defesa no Mali, um consultor sênior do serviço nacional de segurança cibernética e até funcionários da Casa Branca. Grande parte dos emails é spam, e nenhum é sigiloso. Mas alguns deles contêm dados confidenciais sobre o serviço militar dos EUA, funcionários e suas famílias.
O conteúdo inclui radiografias e dados médicos, informações de documentos de identidade, listas de tripulantes de navios, listas de pessoal em bases, mapas de instalações, fotos de bases, relatórios de inspeção naval, contratos, queixas criminais contra militares, investigações internas sobre bullying, itinerários de viagens oficiais, reservas e registros fiscais e financeiros.
Mike Rogers, almirante aposentado que dirigiu a Agência de Segurança Nacional e o Comando Cibernético do Exército dos EUA, disse: "Se você tiver esse tipo de acesso, poderá gerar inteligência mesmo que apenas a partir de informações não sigilosas". "Isso não é incomum", acrescentou Zuurbier. "Não é normal que as pessoas cometam erros, mas a questão é a escala, a duração e a sensibilidade da informação."
Um email mal direcionado neste ano continha os planos de viagem do general James McConville, chefe de gabinete do Estado-Maior do Exército dos EUA, e sua delegação para uma visita à Indonésia em maio.
O email incluía os números dos quartos, o itinerário do general, bem como detalhes da coleta da chave do quarto de McConville no Grand Hyatt Jakarta, onde ele recebeu um upgrade VIP para uma suíte maior.
Rogers alertou que a transferência de controle para o Mali representa um problema significativo. "Uma coisa é quando você lida com um administrador de domínio que está tentando, mesmo sem sucesso, articular uma preocupação", disse. "Outra é quando um governo estrangeiro vê isso como uma vantagem."
O tenente-comandante Tim Gorman, porta-voz do Pentágono, disse que o Departamento de Defesa "está ciente desse problema e leva a sério todas as divulgações não autorizadas de informações controladas de segurança nacional ou informações controladas não classificadas". Segundo Gorman, os emails enviados diretamente do domínio ".mil" para endereços do Mali "são bloqueados antes de saírem do domínio ".mil".
Além disso, o remetente é notificado de que deve validar os endereços de email dos destinatários.
Quando Zuurbier assumiu o código de país do Mali, em 2013, ele percebeu solicitações de domínios como "army.ml" e "navy.ml", que não existiam. Suspeitando que fossem emails, montou um sistema para pegar correspondências desse tipo que ficou rapidamente sobrecarregado e parou de coletar mensagens.
Zuurbier disse que, depois de perceber o que estava acontecendo e obter aconselhamento jurídico, fez repetidas tentativas de alertar as autoridades americanas. Ele contou ao Financial Times que deu uma cópia do parecer legal à esposa, "para o caso de helicópteros pretos pousarem no seu quintal".
Seus esforços incluíram ingressar em uma missão comercial da Holanda em 2014 para obter a ajuda de diplomatas locais. Em 2015, fez um novo esforço, sem sucesso. Começou então a coletar emails com endereços incorretos mais uma vez neste ano, numa última tentativa de alertar o Pentágono.
O fluxo de dados mostra algumas fontes sistemáticas de vazamento. Os agentes de viagens que trabalham para os militares costumam escrever emails errados. Funcionários que enviam conteúdos entre suas próprias contas também são um problema.
Um agente do FBI tentou encaminhar seis mensagens para seu email militar e as despachou para o Mali. Uma delas incluía uma carta diplomática turca urgente ao Departamento de Estado sobre possíveis operações do Partido dos Trabalhadores do Curdistão (PKK) contra interesses turcos nos EUA.
A mesma pessoa encaminhou briefings sobre terrorismo doméstico nos EUA marcados "para uso oficial" e uma avaliação global de combate ao terrorismo com o título "não pode ser divulgado ao público ou a governos estrangeiros". Um briefing "sensível" sobre esforços da Guarda Revolucionária do Irã para usar estudantes e o aplicativo de mensagens Telegram para realizar espionagem nos EUA também foi incluído.
"Embora não seja possível implementar controles técnicos que impeçam o uso de contas de email pessoais para negócios do governo, o departamento segue fornecendo orientação e treinamento ao Departamento de Defesa", disse Gorman. Cerca de uma dúzia de pessoas solicitou por engano senhas de recuperação para um sistema comunitário de inteligência a ser enviado ao Mali. Outros enviaram as senhas necessárias para acessar documentos guardados entre arquivos com acesso seguro da Defesa.
Muitos emails são de empreiteiros privados que trabalham com os militares dos EUA. Vinte atualizações de rotina eram da empresa de defesa General Dynamics relacionadas à produção de cartuchos de granadas de treinamento para o Exército. Alguns contêm números de passaportes enviados pela agência de emissões especiais do Departamento de Estado, entidade que emite documentos para diplomatas e outras pessoas que viajam a negócios em nome dos EUA.
O Exército da Holanda usa o domínio "army.nl", a uma tecla de "army.ml". Há mais de uma dúzia de emails de militares holandeses que incluíam discussões com colegas italianos sobre uma coleta de munição na Itália e comunicação detalhada sobre tripulações de helicópteros holandeses Apache nos EUA.
Outros incluíam discussões sobre futuras opções de aquisição militar e uma reclamação sobre a vulnerabilidade potencial de uma unidade Apache holandesa a ataques cibernéticos. O Ministério da Defesa do país europeu não respondeu a um pedido de comentário.
Oito emails do Departamento de Defesa da Austrália, com destinatários nos EUA, foram extraviados. Entre eles, uma apresentação sobre problemas de corrosão que afetam os F-35 australianos e um manual de artilharia "transportado por oficiais de posto de comando para cada bateria".
A pasta australiana declarou, em comunicado, que "não comenta questões de segurança".
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.