A gigante de telecomunicações dos Estados Unidos, AT&T, divulgou uma violação em julho envolvendo registros de chamadas e mensagens de texto de seis meses em 2022 de “quase todos” os mais de 100 milhões de clientes da empresa. Além de expor detalhes de comunicação pessoal de uma série de indivíduos americanos, o FBI está em alerta de que os registros de chamadas e mensagens de texto de seus agentes também estavam incluídos na violação. Um documento visto e primeiro relatado pela Bloomberg indica que o Escritório tem se esforçado para mitigar qualquer possível repercussão que poderia levar a revelações sobre as identidades de fontes anônimas conectadas a investigações.
Os dados violados não incluíam o conteúdo de chamadas e mensagens, mas a Bloomberg relata que mostrariam registros de comunicação para os números móveis dos agentes e outros números de telefone que eles usaram durante o período de seis meses. Não está claro quão amplamente os dados roubados se espalharam, se é que se espalharam. A WIRED informou em julho que, após os hackers tentarem extorquir a AT&T, a empresa pagou US$ 370.000 em uma tentativa de ter o tesouro de dados excluído. Em dezembro, investigadores dos EUA acusaram e prenderam um suspeito que supostamente estava por trás da entidade que ameaçou vazar os dados roubados.
O FBI disse à WIRED em um comunicado: “O FBI adapta continuamente nossas práticas operacionais e de segurança à medida que as ameaças físicas e digitais evoluem. O FBI tem a responsabilidade solene de proteger a identidade e a segurança de fontes humanas confidenciais, que fornecem informações todos os dias que mantêm o povo americano seguro, muitas vezes em risco para si mesmos.”
O porta-voz da AT&T, Alex Byers, disse em um comunicado que a empresa “trabalhou em estreita colaboração com a aplicação da lei para mitigar o impacto nas operações do governo” e aprecia a “investigação minuciosa” que foi realizada. “Dada a crescente ameaça de criminosos cibernéticos e atores de nação-estado, continuamos a aumentar os investimentos em segurança, bem como a monitorar e remediar nossas redes”, acrescenta Byers.
A situação está surgindo em meio a revelações contínuas sobre uma campanha de hacking diferente perpetrada pelo grupo de espionagem Salt Typhoon da China, que comprometeu uma série de telecomunicações dos EUA, incluindo a AT&T. Esta situação separada expôs registros de chamadas e mensagens de texto para um grupo menor de alvos de alto perfil específicos e, em alguns casos, incluiu gravações, bem como informações como dados de localização.
À medida que o governo dos EUA se esforça para responder, uma recomendação do FBI e da Agência de Segurança Cibernética e Infraestrutura foi para que os americanos usassem plataformas criptografadas de ponta a ponta — como Signal ou WhatsApp — para se comunicar. O Signal, em particular, armazena quase nenhum metadado sobre seus clientes e não revelaria quais contas se comunicaram entre si se fosse violado. A sugestão era um conselho sensato do ponto de vista da privacidade, mas foi muito surpreendente, dada a oposição histórica do Departamento de Justiça dos EUA ao uso de criptografia de ponta a ponta. Se o FBI está lidando com a possibilidade de que seus próprios informantes possam ter sido expostos por uma recente violação de telecomunicações, no entanto, a mudança de postura faz mais sentido.
Se os agentes estivessem seguindo a comunicação investigativa estritamente, no entanto, os registros de chamadas e mensagens de texto roubados não deveriam representar uma grande ameaça, diz Jake Williams, ex-hacker da NSA e vice-presidente de pesquisa da Hunter Strategy. O procedimento operacional padrão deve ser projetado para levar em conta a possibilidade de que os registros de chamadas possam ser comprometidos, diz ele, e deve exigir que os agentes se comuniquem com fontes sensíveis usando números de telefone que nunca foram vinculados a eles ou ao governo dos EUA. O FBI pode estar alertando sobre a violação da AT&T por excesso de cautela, diz Williams, ou pode ter descoberto que erros de agentes e de protocolo foram capturados nos dados roubados. “Isso não seria um problema de contrainteligência, a menos que alguém não estivesse seguindo o procedimento”, diz ele.
Williams acrescenta, também, que enquanto as campanhas do Salt Typhoon são conhecidas por terem impactado apenas um grupo relativamente pequeno de pessoas, elas afetaram muitas telecomunicações, e o impacto total dessas violações ainda pode não ser conhecido.
“Eu me preocupo com as fontes do FBI que podem ter sido afetadas por essa exposição da AT&T, mas, de forma mais ampla, o público ainda não tem uma compreensão completa das consequências das campanhas do Salt Typhoon”, diz Williams. “E parece que o governo dos EUA ainda está trabalhando para entender isso também.