A gigante das telecomunicações dos Estados Unidos, AT&T, divulgou em julho uma violação de segurança envolvendo registros de chamadas e mensagens de texto dos últimos seis meses de 2022 de “praticamente todos” os seus mais de 100 milhões de clientes. Além de expor detalhes de comunicação pessoal de muitos americanos individuais, o FBI também está em alerta porque os registros de chamadas e mensagens de texto de seus agentes estavam incluídos na violação. Um documento visto e primeiramente reportado pela Bloomberg indica que o bureau está correndo para mitigar qualquer possível repercussão que possa levar à revelação das identidades de fontes anônimas conectadas às investigações.
Os dados violados não incluíram o conteúdo das chamadas e mensagens de texto, mas a Bloomberg relata que teriam mostrado registros de comunicação para números de celulares de agentes e outros números de telefone que eles usaram durante o período de seis meses. Não está claro o quão amplamente os dados roubados se espalharam, se é que se espalharam. Em julho, a WIRED reportou que depois que os hackers tentaram extorquir a AT&T, a empresa pagou US$ 370.000 na tentativa de ter o tesouro de dados excluído. Em dezembro, os investigadores dos EUA acusaram e prenderam um suspeito que, supostamente, estava por trás da entidade que ameaçou vazar os dados roubados.
O FBI diz à WIRED em um comunicado: “O FBI continua a adaptar nossas práticas operacionais e de segurança à medida que ameaças físicas e digitais evoluem. O FBI tem a responsabilidade solene de proteger a identidade e a segurança de fontes humanas confidenciais, que fornecem informações todos os dias que mantêm o povo americano seguro, muitas vezes arriscando suas próprias vidas”.
O porta-voz da AT&T, Alex Byers, diz em uma declaração que a empresa “trabalhou em estreita colaboração com as forças de segurança para mitigar o impacto nas operações do governo” e aprecia a “investigação minuciosa” que conduziram. “Dada a ameaça crescente de cibercriminosos e atores estatais, continuamos a aumentar os investimentos em segurança, bem como a monitorar e remediar nossas redes”, acrescenta Byers.
A situação está surgindo em meio a revelações contínuas sobre uma campanha de hackers diferente perpetrada pelo grupo de espionagem Salt Typhoon, da China, que comprometeu uma série de operadoras de telecomunicações nos EUA, incluindo a AT&T. Essa situação separada expôs registros de chamadas e mensagens de texto para um grupo menor de alvos específicos de alto perfil e, em alguns casos, incluiu gravações, bem como informações como dados de localização.
Enquanto o governo dos EUA tem corrido para responder, uma recomendação do FBI e da Agência de Segurança Cibernética e Infraestrutura tem sido que os americanos usem plataformas de criptografia de ponta a ponta, como Signal ou WhatsApp, para se comunicar. Signal, em particular, armazena quase nenhum metadados sobre seus clientes e não revelaria quais contas se comunicaram se fosse violado. A sugestão era um conselho sólido do ponto de vista da privacidade, mas foi muito surpreendente dada a oposição histórica do Departamento de Justiça dos EUA ao uso de criptografia de ponta a ponta. No entanto, se o FBI estivesse lidando com a possibilidade de que seus próprios informantes pudessem ter sido expostos por uma recente violação de uma operadora, a mudança de rumo faria mais sentido. Se os agentes estivessem seguindo estritamente o protocolo para comunicações investigativas, o roubo dos registros de chamadas e mensagens da AT&T não representaria uma grande ameaça, diz Jake Williams, ex-hacker da NSA e vice-presidente de pesquisa da Hunter Strategy. O procedimento operacional padrão deve ser projetado para levar em consideração a possibilidade de que os registros de chamadas possam ser comprometidos, diz ele, e deve exigir que os agentes se comuniquem com fontes sensíveis usando números de telefone que nunca foram vinculados a eles ou ao governo dos EUA. O FBI poderia estar alertando sobre a violação da AT&T por excesso de cautela, diz Williams, ou pode ter descoberto que erros de protocolo dos agentes foram capturados nos dados roubados. “Isso não seria uma questão de contra-inteligência, a menos que alguém não estivesse seguindo o procedimento”, diz ele.
Williams acrescenta ainda que, embora as campanhas Salt Typhoon sejam conhecidas por ter impactado um grupo relativamente pequeno de pessoas, elas afetaram muitas operadoras de telecomunicações, e o impacto total dessas violações ainda pode não ser conhecido.
“Eu me preocupo com as fontes do FBI que podem ter sido afetadas por essa exposição da AT&T, mas mais amplamente, o público ainda não tem uma compreensão completa das repercussões das campanhas Salt Typhoon”, diz Williams. “E parece que o governo dos EUA ainda está trabalhando para entender isso também.”
