Ops, Encontrei os Ficheiros de Epstein: Uma Semana de Caos Digital e Falhanços do FBI

A Semana em que a Internet Perdeu o Juízo

Se achava que a sua semana estava a correr mal por se ter esquecido do Cartão Clubcard do Tesco ou por ter perdido o autocarro sob a chuva torrencial, pense no departamento de TI do FBI. Acontece que a agência investigativa mais famosa do mundo tem o equivalente digital a uma porta da frente escorada com um chouriço a meio comer. Numa sequência de eventos que parece mais o guião de uma sitcom de baixo orçamento do que um thriller de alto risco, um investigador de segurança deu por acaso com alguns dos ficheiros mais sensíveis da história moderna: os registos de Jeffrey Epstein.

Vivemos numa era em que nos dizem constantemente para usar palavras-passe complexas, activar a autenticação de dois factores e ter cuidado com e-mails suspeitos de príncipes desaparecidos há muito tempo. No entanto, as próprias organizações encarregadas de manter a paz parecem estar a lutar com o básico. Esta semana foi uma aula magistral sobre como não fazer cibersegurança, com tudo desde erros governamentais a aplicações que traem os seus segredos mais íntimos. Vamos mergulhar no caos, então?

A Política de Porta Aberta do FBI

O número principal deste circo digital envolve um investigador de segurança que atende pelo nome de Lassi. Enquanto explorava o Law Enforcement Enterprise Portal (LEEP) - que soa muito mais impressionante do que claramente é - Lassi descobriu que podia aceder a uma grande quantidade de informação sem precisar exactamente de uma chave mestra. Não foi nenhum assalto estilo Missão Impossível envolvendo grelhas de laser e pendurar-se no tecto. Foi mais uma questão de clicar nos links certos e perceber que a vedação virtual tinha um buraco enorme, do tamanho de uma pessoa.

Entre a confusão digital estavam ficheiros relacionados com Jeffrey Epstein. Para quem tem vivido debaixo de uma pedra, Epstein é o falecido financeiro cuja lista de associados parece um Quem é Quem de pessoas que preferiam genuinamente não constar de nenhuma lista. O facto de estes ficheiros terem sido essencialmente deixados num arquivo destrancado num corredor virtual é estarrecedor. O FBI entretanto fechou a brecha, mas o dano à sua reputação de competência técnica é provavelmente permanente. Levanta uma questão séria: se o FBI não consegue proteger as suas provas mais mediáticas, que esperança temos nós?

Do ponto de vista do Reino Unido, isto é particularmente irritante. Olhamos frequentemente para as agências americanas como o padrão de ouro em matéria de informação e segurança. Se elas são assim tão negligentes, faz-nos questionar o estado das nossas próprias bases de dados domésticas. Com a crise do custo de vida a espremer cada cêntimo do público britânico, simplesmente não podemos suportar as consequências de violações massivas de dados que conduzem ao roubo de identidade e à fraude financeira. Precisamos que os responsáveis sejam melhores do que isto.

A Aplicação que Sabia Demasiado

Se o erro do FBI foi uma questão de vergonha nacional, a próxima história é uma de traição profundamente pessoal. Existe uma aplicação chamada Victory, concebida para ajudar as pessoas a deixar de ver pornografia. Faz parte de um conjunto de ferramentas que inclui parceiros de responsabilização e acompanhamento do progresso. É o tipo de aplicação que se usa quando se está mais vulnerável, a tentar fazer uma mudança positiva na vida. Infelizmente, a segurança da aplicação era tão robusta quanto um saco de papel molhado.

Os investigadores descobriram que a aplicação estava a vazar os hábitos altamente sensíveis de centenas de milhares de utilizadores. Estamos a falar de dados que poderiam ser usados para chantagem ou extremo embaraço social. A ironia é suficientemente espessa para barrar numa torrada: uma aplicação destinada a fornecer um espaço seguro para a auto-melhoria acabou por expor os seus utilizadores à própria coisa que tentavam evitar. É um lembrete claro de que quando se dá a uma aplicação os seus dados mais privados, está a fazer um enorme acto de fé.

O Verdadeiro Custo do Software Gratuito (e Não Tão Gratuito)

No Reino Unido, temos regras RGPD rigorosas que supostamente nos protegem deste tipo de disparate. No entanto, as aplicações desenvolvidas no estrangeiro frequentemente seguem regras diferentes, ou nenhuma regra. A fuga de dados do Victory é um lembrete de que a privacidade não é apenas uma funcionalidade; é um direito fundamental. Quando uma empresa não consegue proteger isso, não está apenas a falhar nos negócios; está a falhar na decência humana básica. Para quem usa aplicações de 'auto-ajuda', o conselho é claro: verifique as permissões, leia a política de privacidade e, se parecer suspeito, provavelmente é.

Signal Sob Cerco: A Ligação Russa

Passando dos hábitos pessoais para a espionagem internacional, temos a notícia de que hackers russos estão a atacar contas do Signal. O Signal tem sido há muito tempo o favorito do mundo da privacidade, recomendado por todos, desde Edward Snowden até ao seu primo entendido em tecnologia que vive numa gaiola de Faraday. Utiliza encriptação de ponta a ponta, o que significa que nem a própria empresa consegue ler as suas mensagens. Mas os hackers encontraram uma forma de contornar a encriptação, visando os utilizadores em vez disso.

O grupo conhecido como Sandworm (ou APT44 para os especialistas) tem usado engenharia social inteligente para enganar as pessoas a ligarem as suas contas do Signal a uma versão de desktop controlada pelos hackers. Uma vez estabelecida essa ligação, podem ver todas as mensagens que envia e recebe em tempo real. É uma solução alternativa brilhante, ainda que aterradora. Não estão a arrombar a fechadura; estão a enganá-lo para que entregue uma chave sobresselente.

Para nós no Reino Unido, este é um lembrete oportuno de que a maior fraqueza em qualquer sistema de segurança é geralmente a pessoa que o utiliza. Podemos ter toda a encriptação do mundo, mas se nos deixarmos enganar facilmente por uma mensagem bem elaborada ou um ecrã de início de sessão falso, de nada serve. Os russos estão a jogar um jogo longo, e são muito bons nisso. Precisamos de ser igualmente perspicazes.

O Veredicto: Um Estado Caótico de Coisas

O que aprendemos com o caos digital desta semana? Em primeiro lugar, que o FBI precisa de contratar melhores programadores web. Em segundo lugar, que as suas aplicações 'privadas' podem não ser nada disso. E em terceiro lugar, que mesmo as plataformas mais seguras são vulneráveis a um truque inteligente. É um estado de coisas deprimente, especialmente quando já estamos a lidar com uma economia lenta e um mundo que parece cada vez mais instável.

Prós da Tecnologia Moderna: Temos a informação do mundo ao alcance dos dedos e podemos comunicar instantaneamente com qualquer pessoa, em qualquer lugar.

Contras da Tecnologia Moderna: Essa informação pode incluir os ficheiros de Epstein do FBI, e a sua comunicação pode estar a ser lida por um agente entediado em Moscovo enquanto a sua aplicação de 'abandono' conta ao mundo sobre os seus hábitos de terça-feira à noite.

Existe um lado positivo? Talvez. Estes incidentes servem de alerta. Lembram-nos para sermos cépticos, cautelosos e nunca assumirmos que 'seguro' significa realmente 'a salvo'. Se estiver a usar o Signal, verifique os seus dispositivos ligados. Se estiver a usar aplicações de auto-ajuda, talvez considere um diário de papel em vez disso. E se for do FBI, talvez tente desligar e voltar a ligar o portal - ou simplesmente coloque-lhe uma palavra-passe adequada.

O valor pelo dinheiro no mundo da tecnologia está actualmente em mínimos históricos se considerar o custo da sua privacidade. Estamos a pagar por dispositivos e serviços que frequentemente tratam os nossos dados como uma mercadoria a ser transaccionada ou um incómodo a ser ignorado. É hora de exigirmos melhor. Até lá, mantenham-se seguros, mantenham as palavras-passe longas e, pelo amor de Deus, parem de clicar em links que não reconhecem.

Leia o artigo original em fonte.