A gigante das telecomunicações dos Estados Unidos AT&T divulgou uma violação em julho envolvendo registros de chamadas e mensagens de texto de seis meses em 2022 de “quase todos” os seus mais de 100 milhões de clientes. Além de expor detalhes de comunicação pessoal de uma série de americanos, o FBI está alerta de que os registros de chamadas e mensagens de texto de seus agentes também foram incluídos na violação. Um documento visto e relatado pela primeira vez pela Bloomberg indica que a Repartição tem se esforçado para mitigar quaisquer possíveis consequências que possam levar a revelações sobre as identidades de fontes anônimas ligadas às investigações.
Os dados violados não incluíam o conteúdo de chamadas e mensagens de texto, mas a Bloomberg relata que teria mostrado registros de comunicação dos números de celular dos agentes e outros números de telefone usados durante o período de seis meses. Não está claro até que ponto os dados roubados se espalharam, se é que se espalharam. A WIRED informou em julho que depois que os hackers tentaram extorquir a AT&T, a empresa pagou US$ 370.000 na tentativa de excluir os dados. Em Dezembro, investigadores dos EUA acusaram e prenderam um suspeito que supostamente estava por trás da entidade que ameaçou vazar os dados roubados.
O FBI disse à WIRED em um comunicado: “O FBI adapta continuamente nossas práticas operacionais e de segurança à medida que as ameaças físicas e digitais evoluem. O FBI tem a responsabilidade solene de proteger a identidade e a segurança de fontes humanas confidenciais, que fornecem todos os dias informações que mantêm o povo americano seguro, muitas vezes em risco para si próprio.”
O porta-voz da AT&T, Alex Byers, disse em comunicado que a empresa “trabalhou em estreita colaboração com as autoridades para mitigar o impacto nas operações governamentais” e agradece a “investigação completa” que conduziram. “Dada a crescente ameaça dos cibercriminosos e dos intervenientes estatais, continuamos a aumentar os investimentos em segurança, bem como a monitorizar e a remediar as nossas redes”, acrescenta Byers.
A situação vem à tona em meio a revelações contínuas sobre uma campanha de hackers diferente perpetrada pelo grupo de espionagem Salt Typhoon da China, que comprometeu uma série de empresas de telecomunicações dos EUA, incluindo a AT&T. Essa situação separada expôs registros de chamadas e mensagens de texto para um grupo menor de alvos específicos de alto perfil e, em alguns casos, incluiu gravações, bem como informações como dados de localização.
À medida que o governo dos EUA se esforçava para responder, uma recomendação do FBI e da Agência de Segurança Cibernética e de Infraestrutura foi que os americanos usassem plataformas criptografadas de ponta a ponta – como Signal ou WhatsApp – para se comunicarem. A Signal, em particular, quase não armazena metadados sobre seus clientes e não revela quais contas se comunicaram entre si se fossem violadas. A sugestão foi um bom conselho do ponto de vista da privacidade, mas foi muito surpreendente dada a oposição histórica do Departamento de Justiça dos EUA ao uso de criptografia de ponta a ponta. Se o FBI tem estado a debater-se com a possibilidade de os seus próprios informantes terem sido expostos por uma recente violação de telecomunicações, a reviravolta faz mais sentido.
Porém, se os agentes seguissem estritamente a comunicação investigativa, os registros de chamadas e mensagens de texto roubados da AT&T não deveriam representar uma grande ameaça, diz o ex-hacker da NSA e vice-presidente de pesquisa da Hunter Strategy, Jake Williams. O procedimento operacional padrão deveria ser projetado para levar em conta a possibilidade de comprometimento dos registros de chamadas, diz ele, e deveria exigir que os agentes se comunicassem com fontes confidenciais usando números de telefone que nunca foram vinculados a eles ou ao governo dos EUA. O FBI pode estar alertando sobre a violação da AT&T por precaução, diz Williams, ou pode ter descoberto que erros de agentes e erros de protocolo foram capturados nos dados roubados. “Isso não seria uma questão de contra-espionagem, a menos que alguém não seguisse o procedimento”, diz ele.
Williams acrescenta também que, embora se saiba que as campanhas do tufão de sal só impactaram um grupo relativamente pequeno de pessoas, elas afetaram muitas telecomunicações e o impacto total dessas violações ainda pode não ser conhecido.
“Preocupo-me com as fontes do FBI que possam ter sido afetadas por esta exposição da AT&T, mas, de um modo mais geral, o público ainda não tem uma compreensão completa das consequências das campanhas do Tufão do Sal”, diz Williams. “E parece que o governo dos EUA ainda está trabalhando para compreender isso também.”
