A gigante das telecomunicações dos Estados Unidos, AT&T, revelou uma violação em julho que envolveu registros de chamadas e mensagens de texto de seis meses em 2022 de “quase todos” os seus mais de 100 milhões de clientes. Além de expor detalhes de comunicação pessoal de vários americanos individuais, o FBI também tem estado em alerta de que os registros de chamadas e mensagens de texto de seus agentes também estavam incluídos na violação. Um documento indica que o escritório tem se esforçado para mitigar qualquer repercussão que poderia levar a revelações sobre as identidades de fontes anônimas conectadas às investigações.
Os dados violados não incluíam o conteúdo das chamadas e mensagens de texto, mas, de acordo com o Bloomberg, eles teriam mostrado registros de comunicação para números de celular de agentes e outros telefones que eles usaram durante o período de seis meses. Não está claro quão amplamente os dados roubados se espalharam, se é que se espalharam. A WIRED relatou em julho que, depois que os hackers tentaram extorquir a AT&T, a empresa pagou $370.000 na tentativa de ter o tesouro de dados excluído. Em dezembro, investigadores americanos acusaram e prenderam um suspeito que, segundo relatos, estava por trás da entidade que ameaçou vazar os dados roubados.
O FBI diz à WIRED em um comunicado: “O FBI adapta continuamente nossas práticas operacionais e de segurança à medida que as ameaças físicas e digitais evoluem. O FBI tem a responsabilidade solene de proteger a identidade e a segurança de fontes humanas confidenciais, que fornecem informações todos os dias que mantêm o povo americano seguro, muitas vezes arriscando a própria vida.”
Um porta-voz da AT&T, Alex Byers, diz em um comunicado que a empresa “trabalhou em estreita colaboração com as autoridades para mitigar o impacto nas operações governamentais” e aprecia a “investigação minuciosa” que conduziram. “Dado o aumento da ameaça de cibercriminosos e atores estatais, continuamos a aumentar os investimentos em segurança, bem como monitorar e remediar nossas redes”, acrescenta Byers.
A situação está surgindo em meio a revelações em curso sobre uma campanha de hacking diferente perpetrada pelo grupo de espionagem chinês Salt Typhoon, que comprometeu uma série de telecomunicações dos EUA, incluindo a AT&T. Esta situação separada expôs registros de chamadas e mensagens de texto para um grupo menor de alvos específicos de alto perfil e, em alguns casos, incluiu gravações, bem como informações como dados de localização.
Enquanto o governo dos EUA corre para responder, uma recomendação do FBI e da Agência de Segurança Cibernética e Infraestrutura tem sido para que os americanos usem plataformas criptografadas de ponta a ponta, como Signal ou WhatsApp, para se comunicar. Signal em particular armazena quase nenhum metadados sobre seus clientes e não revelaria quais contas se comunicaram umas com as outras se fosse violado. A sugestão foi um conselho sólido do ponto de vista da privacidade, mas foi muito surpreendente dada a oposição histórica do Departamento de Justiça dos EUA ao uso de criptografia de ponta a ponta. Se o FBI tem lutado com a possibilidade de que seus próprios informantes possam ter sido expostos por uma recente violação de telecomunicações, no entanto, a mudança de direção faz mais sentido.
Se os agentes estavam seguindo rigorosamente o protocolo para comunicações de investigação, os registros violados da AT&T não deveriam representar uma grande ameaça, diz Jake Williams, ex-hacker da NSA e vice-presidente de pesquisa da Hunter Strategy. O procedimento operacional padrão deve ser projetado para considerar a possibilidade de que os registros de chamadas possam ser comprometidos, diz ele, e deve exigir que os agentes se comuniquem com fontes sensíveis usando números de telefone que nunca foram vinculados a eles ou ao governo dos EUA. O FBI pode estar alertando sobre a violação da AT&T por excesso de cautela, diz Williams, ou pode ter descoberto que erros dos agentes e erros de protocolo foram capturados nos dados roubados. “Isso não seria um problema de contra-inteligência a menos que alguém não estivesse seguindo o procedimento”, diz ele.
Williams acrescenta, também, que enquanto as campanhas do Salt Typhoon são conhecidas por terem impactado um grupo relativamente pequeno de pessoas, elas afetaram muitas telecomunicações, e o impacto total dessas violações ainda pode não ser conhecido.
“Eu me preocupo com as fontes do FBI que podem ter sido afetadas por essa exposição da AT&T, mas de maneira mais ampla, o público ainda não tem uma compreensão completa das consequências das campanhas do Salt Typhoon”, diz Williams. “E parece que o governo dos EUA ainda está trabalhando para entender isso também.”
