O mandato do Departamento de Segurança Interna para realizar vigilância doméstica tem sido uma preocupação para os defensores da privacidade desde a criação da organização após os ataques de 11 de setembro. Agora, uma falha de segurança afetando o braço de inteligência do DHS trouxe à luz não apenas como o departamento coleta e armazena informações sensíveis, incluindo sobre sua vigilância de americanos, mas também como em um momento deixou esses dados expostos a milhares de trabalhadores do governo e do setor privado, e até mesmo a estrangeiros que nunca foram autorizados a vê-los.
Um memorando interno do DHS obtido por meio de um pedido da Lei de Liberdade de Informação e compartilhado com a WIRED revela que de março a maio de 2023, uma plataforma online do DHS usada pelo Escritório de Inteligência e Análise (I&A) do DHS para compartilhar informações sensíveis, mas não classificadas, e pistas investigativas entre o DHS, o FBI, o Centro Nacional de Contraterrorismo, a aplicação da lei local e centros de fusão de inteligência em todo os EUA estava configurada de forma inadequada, expondo acidentalmente informações de inteligência restritas a todos os usuários da plataforma.
O acesso aos dados, segundo uma investigação do DHS descrita no memorando, deveria ser limitado aos usuários da seção de inteligência da Rede de Informações de Segurança Interna, conhecida como HSIN-Intel. Em vez disso, foi configurado para conceder acesso a “todos”, expondo a informação a dezenas de milhares de usuários do HSIN. Os usuários não autorizados que acessaram incluíam trabalhadores do governo dos EUA focados em áreas não relacionadas à inteligência ou aplicação da lei, como resposta a desastres, além de contratados do setor privado e funcionários de governos estrangeiros com acesso ao HSIN.
“A DHS anuncia o HSIN como seguro e diz que as informações que detém são sensíveis, informações críticas de segurança nacional”, diz Spencer Reynolds, um advogado do Centro Brennan de Justiça que obteve o memorando via Lei de Liberdade de Informação e o compartilhou com a WIRED. “Mas esse incidente levanta questões sobre o quão seriamente eles levam a segurança da informação. Milhares e milhares de usuários acessaram informações que nunca deveriam ter tido.”
Os dados do HSIN-Intel incluem desde pistas e dicas de aplicação da lei até relatórios sobre hacking estrangeiro e campanhas de desinformação, até análises de movimentos de protesto doméstico. O memorando sobre a violação da HSIN-Intel menciona especificamente, por exemplo, um relatório discutindo “protestos relacionados a uma instalação de treinamento da polícia em Atlanta” — provavelmente os protestos Stop Cop City contra a criação do Centro de Treinamento em Segurança Pública de Atlanta — observando que se concentrava em “mídia elogiando ações como lançar pedras, fogos de artifício e coquetéis molotov na polícia.”
No total, de acordo com o memorando sobre a investigação interna do DHS, 439 “produtos” do I&A na parte HSIN-Intel da plataforma foram acessados indevidamente 1.525 vezes. Dessas instâncias de acesso não autorizado, o relatório descobriu que 518 eram usuários do setor privado e outros 46 eram não cidadãos dos EUA. As instâncias de acessos de usuários estrangeiros estavam “quase inteiramente” focadas em informações de cibersegurança, observa o relatório, e 39% de todos os produtos de inteligência acessados indevidamente envolviam cibersegurança, como grupos de hackers estrangeiros patrocinados pelo estado e o direcionamento estrangeiro de sistemas de TI do governo. O memorando também observou que alguns dos usuários não autorizados dos EUA que visualizaram as informações teriam sido elegíveis para acessar as informações restritas se tivessem solicitado autorização.
“Quando este erro de codificação foi descoberto, o I&A corrigiu imediatamente o problema e investigou qualquer dano potencial”, disse um porta-voz do DHS à WIRED em um comunicado. “Após uma extensa análise, múltiplos órgãos de supervisão determinaram que não houve violação de segurança impactante ou séria. O DHS leva a sério todas as medidas de segurança e privacidade e está comprometido em garantir que sua inteligência seja compartilhada com parceiros federais, estaduais, locais, tribais, territoriais e do setor privado para proteger nossa pátria das inúmeras ameaças adversas que enfrentamos.”
