Apple, Google e Facebook enviaram dados de utilizadores a criminosos
Grupo Lapsus$ pode estar envolvido no esquema, alertam especialistas. O alerta é feito pela revista Bloomberg que tem seguido o assunto desde Março.
Várias gigantes online, incluindo a Google, o Facebook, o Instagram e a Apple, enviaram dados privados dos seus utilizadores a cibercriminosos em 2021, porque achavam que estavam a responder a pedidos de emergência das autoridades. Agora, a informação está a ser usada para chantagear menores de idade e mulheres para enviarem imagens sexuais aos atacantes. O alerta é feito pela revista Bloomberg que tem seguido o assunto desde Março com base em denúncias de quatro agentes da autoridade e dois reguladores que pedem anonimato. Os especialistas acreditam que os responsáveis incluem membros do Lapsus$, um dos grupos suspeitos do ataque à Impresa (dona da SIC e do Expresso).
A informação, que inclui dados como o nome, o número de telemóvel, o endereço de IP e a morada, tem sido usada para orquestrar ciberataques, roubar informação sensível e extorquir dinheiro das vítimas.
O PÚBLICO contactou as empresas mencionadas pela Bloomberg para recolher mais informação, mas apenas obteve resposta da Google e do Discord. De acordo com um porta-voz da Google, “em 2021 [a empresa] descobriu pedidos fraudulentos de dados vindos de agentes mal-intencionados que se estavam a fazer passar por funcionários do governo” e está a trabalhar com as autoridades para impedir futuros “pedidos de dados ilegítimos”. A equipa do Discord sublinha que “valida todos os pedidos de emergência que chegam, ao confirmar se vêm de uma fonte genuína”. À Bloomberg os porta-vozes do Facebook e do Snap reiteram que as empresas verificam todos os pedidos que chegam. O problema é que em 2021 chegaram vários pedidos com credenciais falsas compiladas por um grupo conhecido por “Recursion Team”.
Por norma, as empresas tecnológicas só enviam informação sobre os seus utilizadores em resposta a mandados ou intimações assinadas por um juiz. No entanto, em casos de emergência, em que a vida de alguém está em perigo, o processo é mais rápido. As tecnológicas tendem a partilhar uma quantidade limitada de informação em resposta a pedidos de “boa-fé”; os atacantes aproveitaram-se disto.
O caso mostra a forma como informação obtida em alguns ciberataques pode ser usada para desencadear outros esquemas prejudiciais. Os investigadores de cibersegurança contactados pela Bloomberg acreditam que os responsáveis incluem membros do grupo Lapsus$, cuja lista de alegadas vítimas inclui a Impresa, a Samsung, a Microsoft e a fabricante de processadores Nvidia. No final de Março, as autoridades britânicas detiveram sete pessoas na sequência destes ataques.
Com base nas recentes revelações, o senador democrata Ron Whyden, do estado do Oregon, anunciou que ia questionar empresas de tecnologia sobre a existência de pedidos de informação de emergência falsos. “Ninguém quer que as empresas de tecnologia recusem pedidos de informação de emergência legítimos quando a segurança de alguém está em jogo, mas o sistema actual tem falhas óbvias e tem de ser revisto”, disse Whyden em declarações no passado mês de Março.
A Apple, a Google e a Meta publicam regularmente dados sobre os pedidos de informação que lhes chegam. Segundo os números mais recentes, entre Janeiro e Junho de 2021 a Meta (dona do Instagram, Facebook e WhatsApp) recebeu 3401 pedidos de emergência (63.657 pedidos no total) e respondeu a cerca de 89%. Entre Julho e Dezembro de 2020 a Apple recebeu 1162 pedidos de emergência de 29 países, incluindo Portugal, e respondeu a 1079 (93%). Já a Google diz que recebeu 113.602 pedidos de informação sobre utilizadores entre Janeiro e Dezembro de 2020.
Editado 28/04/2022: Acrescentada resposta da Google.