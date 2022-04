Várias gigantes online, incluindo a Google, o Facebook, o Instagram e a Apple, enviaram dados privados dos seus utilizadores a cibercriminosos em 2021 porque achavam que estavam a responder a pedidos de emergência das autoridades. Agora, a informação está a ser usada para chantagear menores de idade e mulheres a enviar imagens sexuais aos atacantes. O alerta é feito pela revista Bloomberg que tem seguido o tema desde Março com base em denúncias de quatro agentes da autoridade e dois reguladores que pedem anonimato. Os especialistas acreditam que os responsáveis incluem membros do Lapsus$, um dos grupos suspeitos do ataque à Impresa (dona da SIC e do Expresso).

A informação, que inclui dados como o nome, o número de telemóvel, o endereço de IP e a morada, tem sido usada para orquestrar ciberataques, roubar informação sensível e extorquir dinheiro das vítimas.

O PÚBLICO contactou as empresas mencionadas pela Bloomberg para mais informação, mas apenas obteve resposta do Discord. A plataforma sublinha que “valida todos os pedidos de emergência que chegam ao confirmar se vêm de uma fonte genuína”. À Bloomberg, os porta-vozes do Facebook e do Snap reiteram que as empresas verificam todos os pedidos que chegam. O problema é que em 2021 chegaram vários pedidos com credenciais falsas compiladas por um grupo conhecido por “Recursion Team”.

Contactada pela Bloomberg, a equipa da Google nota que “em 2021, descobriu [a existência de] pedidos de dados fraudulentos vindos de actores maliciosos que se estavam a fazer passar por funcionários do Governo” e que está a trabalhar com as autoridades para prevenir futuros “pedidos de dados ilegítimos”.

Por norma, as tecnológicas só enviam informação sobre os seus utilizadores em resposta a mandatos ou intimações assinadas por um juiz. No entanto, em casos de emergência, em que a vida de alguém está em perigo, o processo é mais rápido. As tecnológicas tendem a partilhar uma quantidade limitada de informação em resposta a pedidos de “boa-fé”; os atacantes aproveitaram-se disto.

O caso mostra a forma como credenciais obtidas em alguns ciberataques podem ser usadas para desencadear outros esquemas. Os investigadores de cibersegurança contactados pela Bloomberg acreditam que os responsáveis incluem membros do grupo Lapsus$, cuja lista de alegadas vítimas inclui o ataque à Impresa (dono da SIC e do Expresso), a Samsung, a Microsoft e a fabricante de processadores Nvidia. No final de Março, as autoridades britânicas detiveram sete pessoas na sequência destes ataques.

Na sequência das revelações recentes, o senador democrata Ron Whyden, do estado do Oregon, anunciou que ia questionar empresas de tecnologia sobre a prevalência de pedidos de informação de emergência falsos. “Ninguém quer que as empresas de tecnologia recusem pedidos de informação de emergência legítimos quando a segurança de alguém está em jogo, mas o sistema actual tem falhas óbvias e tem de ser revisto”, disse Whyden em declarações no passado mês de Março.

A Apple, a Google e a Meta publicam regularmente dados sobre os pedidos de informação que lhes chegam. Segundo os números mais recentes, entre Janeiro e Junho de 2021 a Meta (dona do Instagram, Facebook e WhatsApp) recebeu 3401 pedidos de emergência (63,657 pedidos no total) e respondeu a cerca de 89%. Entre Julho e Dezembro de 2020 a Apple recebeu 1162 pedidos de emergência de 29 países, incluindo Portugal, e respondeu a 1079 (93%). Já a Google diz que recebeu 113.602 pedidos de informação sobre utilizadores entre Janeiro e Dezembro de 2020.