As notícias

Ao final do dia de quarta-feira, começaram a surgir notícias sobre um suposto ciberataque que usava milhões de escovas de dentes eléctricas "inteligentes" na Suíça para ataques de “negação de serviço”, mais conhecidos pela sigla inglesa DDoS. Neste tipo de ataques, o objectivo é sobrecarregar uma rede de computadores com muita informação de forma a paralisá-la. Isto impede o acesso a determinados sites, como a páginas de instituições de educação ou de saúde, por exemplo. O ataque teria custado milhões de euros em prejuízo a uma empresa não identificada na Suíça.

O contexto

Segundo vários artigos, o ataque a uma empresa Suíça teria sido descoberto pela empresa de cibersegurança Fortinet. Foi partilhado numa entrevista do jornal helvético Aargauer Zeitung a Stefan Züger, director de sistemas da Fortinet na Suíça, no final de Janeiro. Ao todo, teriam sido usadas mais de três milhões de escovas de dentes ligadas à Internet. Estes aparelhos, que podem ser ligados a apps móveis para perceber como é que se pode escovar melhor os dentes, estão a tornar-se cada vez mais populares.

O caso tornou-se viral depois de ter sido partilhado por jornais como o The Sun e o The Independent, no Reino Unido, e sites de tecnologia especializados como o ZDnet e o Tom's Hardware a cobrir o caso.

“A escova de dentes eléctrica está programada com Java e os criminosos instalam programas maliciosos sem que ninguém se aperceba”, lia-se no arranque peça publicada no Aargauer Zeitung. “Basta um comando e as escovas de dentes acedem simultaneamente ao site de uma empresa suíça. O site colapsa e fica paralisado durante quatro horas. Os prejuízos causados são de milhões de dólares. Este cenário, que parece saído de um filme de Hollywood, aconteceu mesmo. 'Cada dispositivo ligado à Internet é um potencial objectivo [para os atacantes] - ou pode ser utilizado indevidamente para um ataque", diz Stefan Züger'”, continuava a peça.

Depois de se tornar viral, a história captou o interesse de vários especialistas de cibersegurança que estranhavam o facto de o artigo original não avançar o modelo das escovas de dentes em causa, ou o motivo por detrás do suposto ataque. Os detalhes técnicos também levantavam dúvidas.

Os factos

A Fortinet esclarece que não existiu nenhum ataque com três milhões de escovas de dentes inteligentes. Segundo a Fortinet, tratou-se de um problema de tradução durante a entrevista. “O caso das escovas de dentes usadas para ataques DDoS foi apresentado durante uma entrevista como uma ilustração de um determinado tipo de ataque e não se baseia em pesquisas da Fortinet ou do FortiGuard Labs. Parece que, devido às traduções, a narrativa sobre este tópico foi esticada ao ponto de os cenários hipotéticos e reais se confundirem”, lê-se numa resposta da equipa da Fortinet enviada ao PÚBLICO num email de resposta a um pedido para ver o relatório do caso das escovas de dentes. Ou seja, o hipotético ataque terá sido referido apenas a título de exemplo, e não se tratou de um episódio real.

O jornal Aargauer Zeitung, no entanto, insiste que não foi um erro de tradução e que a empresa teve acesso ao artigo, para revisão, antes da publicação. O PÚBLICO contactou a Fortinet para mais informação, mas não obteve resposta até à hora de publicação deste artigo. Em todo o caso, trate-se de um erro de tradução ou da Fortinet, a resposta oficial da empresa é de que o caso das escovas de dentes não é verdadeiro.

Vários especialistas de cibersegurança também tinham expressado as suas dúvidas sobre a veracidade desta histórial viral. A maioria das escovas de dentes inteligentes no mercado não usa wi-fi para partilhar informação com apps móveis. Em vez disso usam Bluetooth Low Energy (BLE), um padrão de conexão entre aparelhos que economiza energia, mas tem menos capacidade para enviar dados. É o suficiente para relógios e pulseiras inteligentes, bem como alguns dispositivos electrónicos como escovas de dentes.

A demora da Fortinet em clarificar a história tem sido criticada por vários especialistas de cibersegurança. “A Fortinet poderia ter corrigido a história, deixando claro que não era verdade, mas apenas um exemplo de algo que poderia potencialmente acontecer. Em vez disso, optou por manter a boca fechada. Talvez tenha gostado da atenção e da exposição mediática”, criticou Graham Culley, um especialista de cibersegurança que já passou por empresas como a McAffee e a Sophos, na sua página online.

Embora o caso das escovas de dentes seja hipotético, a utilização da chamada “internet das coisas” (a conexão de vários aparelhos ligados à Internet — IoT) para ciberataques é algo que preocupa especialistas há anos. Em 2017, por exemplo, um rapaz de 11 anos do Texas, EUA, conseguiu aceder aos dispositivos móveis de uma plateia de especialistas de cibersegurança para demonstrar como podia “sequestrar” um ursinho de peluche ligado à Internet.

O veredicto

É falso que três milhões de escovas de dentes eléctricas tenham sido usadas para orquestrar um ciberataque do tipo DDoS na Suíça. A falta de segurança de dispositivos é uma preocupação real de especialistas de cibersegurança, mas este caso nunca aconteceu. Se se tratou de um erro de tradução ou da Fortinet, tal continua por apurar cabalmente. Mas não, nenhum hacker conseguiu controlar três milhões de escovas eléctricas na Suíça.