A China há muito é um experimento de mais de um bilhão de pessoas em vigilância estatal total, com virtualmente nenhum controle legal sobre a capacidade do governo de monitorar fisicamente e digitalmente seus cidadãos. Quando tanto controle sobre os dados privados dos cidadãos se acumula dentro de algumas agências governamentais, no entanto, isso não permanece lá. Em vez disso, essa abundância de informações privadas também vazou para um mercado negro animado—onde insiders vendem seu próprio acesso a qualquer golpista ou perseguidor disposto a pagar.
Na conferência de segurança Cyberwarcon em Arlington, Virginia, na sexta-feira, pesquisadores da empresa de cibersegurança SpyCloud planejam apresentar suas descobertas de monitoramento de uma coleção de serviços de mercado negro que oferecem buscas baratas e fáceis de dados de cidadãos chineses. Os vendedores, em muitos casos, obtêm essas informações sensíveis recrutando insiders de agências de vigilância chinesas e contratantes do governo e, em seguida, revendendo seu acesso, sem perguntas, para compradores online. O resultado é um ecossistema que opera à vista do público onde, por tão pouco quanto alguns dólares em criptomoeda, qualquer um pode consultar números de telefone, detalhes bancários, registros de hotéis e voos, ou até mesmo dados de localização de indivíduos-alvo.
“A China criou esse enorme aparato de vigilância”, diz Aurora Johnson, uma das duas pesquisadoras da SpyCloud que rastrearam como os dados de vigilância vazam para o mercado negro. “E indivíduos comuns se encontram trabalhando em um sistema onde não há muita mobilidade econômica e social e onde têm acesso irrestrito a esses bancos de dados de informações com base em seus empregos no governo ou em empresas de tecnologia. Portanto, eles estão abusando desse acesso, em muitos casos, roubando dados e vendendo-os em mercados criminosos.”
Os pesquisadores da SpyCloud se concentraram em vendedores de dados em língua chinesa que oferecem seus serviços em contas no serviço de mensagens Telegram, incluindo aqueles chamados Carllnet, DogeSGK e X-Ray. Os serviços, cada um dos quais tem dezenas de milhares de membros em seu grupo do Telegram, se descrevem como SGKs ou “shègōng kù”, que os pesquisadores traduzem como “bibliotecas de engenharia social”—um nome que sugere que os serviços são talvez usados principalmente por golpistas. Todos os três serviços usam um sistema de pontos em que os clientes podem fazer pagamentos—geralmente na criptomoeda Tether, embora em alguns casos os serviços de pagamento chineses WePay e Alipay sejam aceitos—por “pontos”, ou ganhá-los convidando outros clientes. Os clientes podem então trocar esses créditos para realizar buscas com base em identificadores que vão de nomes ou endereços de e-mail a números de telefone e nomes de usuário nas redes sociais QQ, WeChat ou Weibo da China.
Em resposta a essas consultas de busca, os serviços prometem dados e registros sobre alvos, incluindo números de telefone, registros de chamadas, contas bancárias, registros de casamento, registros de veículos, reservas de hotéis e uma infinidade de outras informações pessoais. Para pagamentos mais altos que variam na casa das centenas de dólares, os serviços também oferecem buscas premium por informações ainda mais sensíveis, como imagens de passaporte ou registros de geolocalização, dizem os pesquisadores da SpyCloud, embora tenham realizado apenas experimentos limitados nessas buscas premium. Alguns dos serviços prometem especificamente acesso detalhado a dados das “três grandes” empresas de telecomunicações estatais da China: China Telecom, China Unicom e China Mobile.
A WIRED entrou em contato com Carllnet, DogeSGK e X-Ray via Telegram, assim como as três grandes telecomunicações chinesas cujos dados afirmam ter acesso, mas nenhuma delas respondeu a pedidos de comentário.
Em alguns casos, os serviços parecem se basear em bancos de dados violados—coleções de dados que foram vazadas online por hackers—bem como em fontes de dados coletadas comercialmente semelhantes às oferecidas por corretores de dados ocidentais, como os dados de localização coletados por muitos aplicativos gratuitos para smartphones. Mas eles também parecem oferecer informações de insiders em empresas de tecnologia e telecomunicações, bancos e agências de vigilância do estado da China, e até mesmo postam abertamente anúncios buscando recrutar funcionários dessas organizações que procuram uma fonte extra de renda. “Procurando sinceramente pessoal de segurança pública para estabelecer cooperação”, lê-se em um anúncio postado no Telegram, conforme traduzido pela SpyCloud.
Outro post no feed do Telegram do X-Ray convida “pessoal interno” de “segurança pública, assuntos civis, [e] bancos” a cooperar com o serviço. “Damos as boas-vindas a elites de todas as indústrias que tenham condições de busca interna para se juntarem a nós!” lê-se uma tradução do post.
De acordo com um anúncio, insiders são pagos mais de 10.000 yuan—ou quase $1.400—por dia, enquanto outro post de recrutamento promete o dobro disso e diz que algumas fontes receberão pagamentos de até 70.000 yuan diariamente, ou quase $10.000. “Há muitos camaradas que cooperam conosco e têm cooperado de forma estável há vários anos”, lê-se em um post de recrutamento. Para acalmar ainda mais os medos, promete “um plano completo de mitigação de riscos para protegê-lo.”
O pagamento a essas fontes, sugere um anúncio, vem na forma de “moeda virtual”, e oferece treinamento em “mistura” e outros métodos de retirada “comparáveis aos do pessoal do mercado negro da rede escura”, de acordo com a tradução da SpyCloud—sugerindo que os insiders provavelmente são pagos em criptomoeda, dado que serviços de “mistura” são tipicamente usados para derrotar a análise de blockchain baseada em rastreamento de criptomoedas. “Você pode receber dinheiro com tranquilidade e retirar dinheiro com confiança”, lê-se.
Como evidência adicional de que insiders da vigilância do governo estão trabalhando como freelancers no mercado de corretores de dados, os pesquisadores da SpyCloud apontam para um vazamento no início deste ano de comunicações e documentos da I-Soon, um contratante de ciberespionagem do Ministério da Segurança Pública e do Ministério da Segurança do Estado. Em uma conversa de chat vazada, um funcionário da empresa sugere a outro que “estou aqui apenas para vender qb”, e “venda algum qb você mesmo.” Os pesquisadores da SpyCloud interpretam “qb” como “qíngbào”, ou “inteligência”.
Dado que o salário médio anual na China, mesmo em uma empresa estatal de TI, é de apenas cerca de $30.000, a promessa—por mais credível ou duvidosa que seja—de ganhar quase um terço disso diariamente em troca de vender acesso a dados de vigilância representa uma forte tentação, argumentam os pesquisadores da SpyCloud. “Essas pessoas não são necessariamente mestres do crime”, diz Johnson. “São pessoas com oportunidade e motivo para ganhar um pouco de dinheiro extra.”
Que alguns insiders do governo estão, de fato, lucrando com seu acesso a dados de vigilância é esperado em meio à luta perpétua da China contra a corrupção, diz Dakota Cary, um pesquisador de política e cibersegurança focado na China da empresa de cibersegurança SentinelOne, que revisou as descobertas da SpyCloud. A Transparência Internacional, por exemplo, classifica a China em 76º lugar no mundo entre 180 países em seu Índice de Corrupção, bem abaixo de todos os países da UE, exceto a Hungria—com a qual empatou—incluindo Bulgária e Romênia. A corrupção é “prevalente nos serviços de segurança, nas forças armadas, em todas as partes do governo”, diz Cary. “É uma atitude cultural de cima para baixo no clima político atual. Não é nada surpreendente que indivíduos com esse tipo de dado estejam efetivamente alugando o acesso que têm como parte de seu trabalho.”
Em sua pesquisa, os analistas da SpyCloud foram tão longe a ponto de tentar usar os corretores de dados baseados no Telegram para buscar informações pessoais sobre certos oficiais de alto escalão do Partido Comunista Chinês e do Exército de Libertação Popular, hackers patrocinados pelo estado chinês que foram identificados em indiciamentos nos EUA, e o CEO da empresa de cibersegurança I-Soon, Wu Haibo. Os resultados dessas consultas incluíram uma variedade de números de telefone, endereços de e-mail, números de cartões bancários, registros de registro de veículos e senhas “hash” – senhas que provavelmente foram obtidas através de uma violação de dados que estão protegidas com uma forma de criptografia, mas às vezes vulneráveis a quebra – para esses oficiais e contratantes do governo.
Em alguns casos, os corretores de dados fazem pelo menos a alegação de restringir buscas para excluir celebridades ou oficiais do governo. Mas os pesquisadores dizem que geralmente conseguiam encontrar uma maneira de contornar isso. “Você sempre pode encontrar outro serviço que esteja disposto a fazer a busca e obter alguns documentos sobre eles”, diz a pesquisadora da SpyCloud, Kyla Cardona.
O resultado, como Cardona descreve, é uma consequência ainda mais inesperada de um sistema que coleta dados tão vastos e centralizados sobre cada cidadão do país: Não apenas esses dados de vigilância vazam para mãos privadas, mas também vazam para as mãos daqueles que estão assistindo os vigilantes.
“É uma espada de dois gumes”, diz Cardona. “Esses dados são coletados para eles e por eles. Mas também podem ser usados contra eles.