Em 4 de setembro, uma especialista em privacidade do centro de operações legais da Charter Communications recebeu um pedido emergencial de dados por e-mail, supostamente enviado pelo oficial Jason Corse, da Polícia de Jacksonville.
Em poucos minutos, ela respondeu fornecendo nome, endereço residencial, telefones e e-mail do “alvo”.
No entanto, o e-mail não foi enviado pelo oficial Corse nem por qualquer membro legítimo da polícia, mas sim por um integrante de um grupo de hackers que oferece doxing-as-a-service — um serviço que divulga dados pessoais altamente sensíveis mediante pagamento.
Exempt, um dos membros desse grupo, relatou à revista WIRED que a operação levou apenas 20 minutos.
Ele afirma que a equipe já conseguiu extrair informações semelhantes de quase todas as grandes empresas de tecnologia dos EUA, incluindo Apple e Amazon, além de plataformas menos convencionais, como o site de vídeos Rumble, conhecido pela popularidade entre influenciadores de extrema direita.
O hacker compartilhou com a WIRED as informações enviadas pela Charter Communications e revelou que a vítima era um “gamer” de Nova York.
Questionado sobre seu posicionamento em relação ao uso dessas informações para prejudicar o alvo, respondeu: “Normalmente, não me importo.” A vítima não respondeu aos pedidos de comentário da revista.
Christian Hancock, gerente de relações com a mídia da Polícia de Jacksonville, classificou o caso como preocupante: “É muito grave vermos criminosos se passando por oficiais, especialmente fingindo ser nossos funcionários.” O oficial Corse preferiu não comentar, e a Charter Communications também não se pronunciou sobre o caso.
Essa técnica, que consiste em enganar empresas para que divulguem dados usados para assediar, ameaçar e intimidar pessoas, já é conhecida há anos.
Contudo, a WIRED obteve uma visão inédita sobre o funcionamento desses grupos de doxing e por que, apesar dos alertas, essa prática continua tão frequente.
O caso envolvendo a Charter Communications é apenas um entre até 500 pedidos bem-sucedidos que Exempt afirma ter realizado nos últimos anos.
Para comprovar suas alegações, ele entregou à WIRED uma série de documentos e gravações, incluindo capturas de tela de e-mails, intimações falsas, respostas das empresas e até uma gravação de uma ligação com o time de resposta policial de uma companhia, que tentava verificar a autenticidade do pedido.
Além disso, Exempt apresentou indícios de que um oficial de polícia ativo (cujo nome e localização não foram revelados) estaria em contato com o grupo, supostamente colaborando para enviar pedidos por meio da própria conta, em troca de uma parte dos lucros obtidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...