Desde a criação do Departamento de Segurança Interna dos Estados Unidos (DHS, na sigla em inglês), após os ataques de 11 de setembro, há uma preocupação constante entre defensores da privacidade sobre a vigilância doméstica conduzida pela agência.
Agora, um vazamento de dados relacionado à sua divisão de inteligência revela não só como o DHS coleta e armazena informações sensíveis — inclusive sobre a vigilância de cidadãos americanos —, mas também como esses dados ficaram expostos, inadvertidamente, a milhares de trabalhadores do governo, do setor privado e até a estrangeiros sem autorização para acessá-los.
A reportagem da WIRED é baseada principalmente em documentos obtidos por meio da Lei de Liberdade de Informação (Freedom of Information Act - FOIA), o que permitiu a publicação gratuita deste conteúdo.
A organização incentiva a assinatura como forma de apoiar o jornalismo responsável.
Um memorando interno do DHS, obtido via FOIA e compartilhado com a WIRED, revela que entre março e maio de 2023 uma plataforma online da Divisão de Inteligência e Análise (Intelligence and Analysis - I&A) do DHS estava configurada incorretamente.
Essa plataforma, usada para compartilhar informações de inteligência sensíveis — embora não classificadas — e pistas investigativas entre o DHS, o FBI, o National Counterterrorism Center, forças policiais locais e centros de fusão de inteligência pelo país, acabou expondo dados restritos para todos os seus usuários.
De acordo com a apuração interna descrita no memorando, o acesso a esses dados deveria ser restrito aos usuários da seção de inteligência da Homeland Security Information Network (HSIN-Intel).
No entanto, a configuração da plataforma autorizava qualquer usuário a visualizar as informações, o que abriu o acesso para dezenas de milhares de pessoas.
Entre os usuários não autorizados estavam servidores públicos dedicados a áreas como resposta a desastres, contratados do setor privado e até funcionários de governos estrangeiros que têm acesso à HSIN.
“O DHS promove o HSIN como uma rede segura e afirma que as informações contidas nela são sensíveis e críticas para a segurança nacional”, comenta Spencer Reynolds, advogado do Brennan Center for Justice, que obteve o memorando via FOIA e o compartilhou com a WIRED.
“Mas esse incidente levanta dúvidas sobre o quanto realmente levam a sério a segurança da informação.
Milhares de pessoas tiveram acesso a dados que jamais deveriam ter visto.”
Os dados disponíveis no HSIN-Intel abrangem desde pistas e relatórios de aplicação da lei até análises sobre ataques cibernéticos estrangeiros e campanhas de desinformação, incluindo também o monitoramento de movimentos de protesto domésticos.
O memorando menciona, por exemplo, um relatório focado em protestos contra uma instalação de treinamento policial em Atlanta — provavelmente relacionados às manifestações Stop Cop City contra a criação do Atlanta Public Safety Training Center.
O documento destacava como a mídia repercutia ações como o lançamento de pedras, fogos de artifício e coquetéis molotov contra a polícia.
Ao todo, conforme o relatório da investigação interna do DHS, 439 “produtos” da I&A na plataforma HSIN-Intel foram acessados indevidamente 1.525 vezes.
Dessas acessos não autorizados, 518 foram feitos por usuários do setor privado e 46 por estrangeiros.
O documento ressalta que os acessos externos concentraram-se quase exclusivamente em informações de cibersegurança.
Além disso, 39% dos produtos de inteligência indevidamente consultados estavam relacionados a cibersegurança, envolvendo grupos hackers patrocinados por estados estrangeiros e ataques direcionados a sistemas de TI governamentais.
O memorando também aponta que alguns usuários americanos não autorizados que visualizaram as informações poderiam ter recebido a autorização, caso tivessem solicitado para analisarem suas credenciais.
“Assim que o erro de configuração foi identificado, a I&A tomou medidas imediatas para corrigir o problema e avaliou qualquer potencial dano”, afirmou à WIRED um porta-voz do DHS.
“Após uma revisão aprofundada, diversos órgãos de supervisão concluíram que não houve uma violação grave ou impactante de segurança.
O DHS leva muito a sério todas as medidas de segurança e privacidade e está comprometido em compartilhar sua inteligência com parceiros federais, estaduais, locais, tribais, territoriais e do setor privado para proteger nossa pátria contra as múltiplas ameaças adversárias que enfrentamos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...