Na madrugada de abril do ano passado, alguém parou em cerca de 20 cruzamentos na região do Vale do Silício e lançou um ciberataque sem precedentes, que acabaria se espalhando por vários estados, constrangendo autoridades locais e levantando questionamentos sobre suas práticas de segurança.
As autoridades suspeitam que o responsável, até hoje não identificado, tenha explorado senhas padrão fracas e publicamente disponíveis para enviar, por conexão sem fio, gravações personalizadas que eram reproduzidas sempre que um pedestre apertava o botão da faixa de pedestres.
Em vez das mensagens normais, que orientavam as pessoas a esperar ou atravessar a rua, os pedestres ouviam as vozes falsificadas de CEOs bilionários da tecnologia.
Em um cruzamento de Menlo Park, um falso Mark Zuckerberg dizia que ninguém conseguiria impedir a inteligência artificial de ser inserida “à força” “em cada aspecto da sua experiência consciente”.
Em outro, ele celebrava “minar a democracia”.
Em um terceiro, uma versão alterada de Elon Musk descrevia o presidente Donald Trump como “na verdade, muito gentil, terno e amoroso”, enquanto, em uma rua próxima, sua voz falsificada reclamava de estar “tão sozinho”.
E-mails e mensagens de texto de autoridades, obtidos pela WIRED por meio de pedidos com base na Lei de Acesso à Informação, mostram como as cidades de Menlo Park, Redwood City, Palo Alto e, mais tarde, Seattle e Denver correram para responder à adulteração dos botões de travessia.
As comunicações, junto com entrevistas com especialistas em segurança e ex-funcionários da fabricante dos equipamentos, mostram que governos e a empresa ignoraram fraquezas em uma tecnologia amplamente disseminada.
Em Redwood City, a então gerente municipal Melissa Diaz questionou a equipe sobre quem deveria ser responsabilizado pelo incidente.
“Precisamos entender quem deve ser responsabilizado pela segurança desses sistemas e o que podemos fazer para responsabilizar a equipe ou a parte externa responsável”, escreveu ela em um e-mail aos colegas nos dias seguintes ao ataque.
Nick Mathiowdis, atual gerente de comunicação de Redwood City, afirmou à WIRED que a equipe tem tratado o problema com base em “lições aprendidas e práticas recomendadas em evolução”, mas se recusa a detalhar as medidas para não incentivar novos ataques.
Edward Fok, veterano oficial de cibersegurança da Administração Federal de Rodovias dos Estados Unidos, que investigou brevemente a invasão antes de se aposentar durante a passagem do DOGE pelo governo, diz que as cidades precisam fazer um trabalho melhor ao garantir que cláusulas de cibersegurança estejam incorporadas aos contratos com fornecedores e instaladores de tecnologia, especialmente porque ferramentas de IA e sensores avançados estão sendo cada vez mais integrados à infraestrutura de transporte.
No caso de Redwood City, o contrato com o fornecedor responsável pela instalação e manutenção dos botões exigia, na época do ataque, que a empresa “usasse diligência razoável e o melhor julgamento”, mas não estabelecia nada específico sobre senhas ou segurança digital.
Em uma declaração sem assinatura enviada à WIRED, a Administração Rodoviária afirmou que já havia emitido anteriormente um aviso técnico com “medidas de segurança para garantir que idiotas ideológicos não coloquem em risco a segurança dos americanos ao usar nossas faixas de pedestres”.
A investigação policial sobre os botões invadidos no Vale do Silício esfriou.
As autoridades não conseguiram identificar quem estava por trás da ação porque os botões não registram quem envia os áudios, e as imagens de vigilância da área não ajudaram, segundo o tenente Jeff Clements, da polícia de Redwood City.
A WIRED liberou este artigo para leitura gratuita porque ele se baseia principalmente em reportagens obtidas por meio de pedidos pela Lei de Acesso à Informação.
Aviso público
A empresa Polara Enterprises, sediada em Greenville, no Texas, é há décadas uma das principais fornecedoras de botões de travessia.
Alguns modelos permitem que as cidades enviem audioclipes personalizados por Bluetooth para dar aos pedestres, inclusive pessoas cegas ou com baixa visão, orientações adicionais, como a rua e a direção em que estão atravessando.
Manuais oficiais na internet e vídeos voltados aos milhares de técnicos que fazem a manutenção desses botões em todo o país explicam que os modelos da Polara com Bluetooth saem de fábrica com a senha padrão “1234” e podem ser configurados por meio de um aplicativo disponível publicamente.
Cerca de oito meses antes da onda de invasões aos botões no ano passado, um criador de conteúdo sobre segurança física conhecido como Deviant Ollam publicou um vídeo no YouTube mostrando como seria fácil adulterar os equipamentos.
“Não estou incentivando ninguém a tentar adivinhar senhas óbvias e enviar seu próprio conteúdo porque, lembrem-se, isso seria ruim.
Isso provavelmente seria crime ou algo do tipo.
Falem com seus advogados”, disse ele no vídeo.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...