O mandato do Departamento de Segurança Interna (DHS) para realizar vigilância doméstica tem sido uma preocupação para defensores da privacidade desde que a organização foi criada após os ataques de 11 de setembro. Agora, um vazamento de dados que afeta o braço de inteligência do DHS revelou não apenas como o departamento coleta e armazena essas informações sensíveis — incluindo sobre sua vigilância dos americanos — mas também como deixou esses dados expostos a milhares de trabalhadores do governo, do setor privado e até mesmo a estrangeiros que nunca foram autorizados a vê-los.
Um memorando interno do DHS obtido por meio de um pedido da Lei de Liberdade de Informação (FOIA) e compartilhado com a WIRED revela que, de março a maio de 2023, uma plataforma online usada pelo Escritório de Inteligência e Análise (I&A) do DHS para compartilhar informações de inteligência sensíveis, mas não classificadas, e leads investigativos entre o DHS, o FBI, o Centro Nacional de Contraterrorismo, a polícia local e centros de fusão de inteligência em todo os EUA foi mal configurada, expondo acidentalmente informações de inteligência restritas a todos os usuários da plataforma.
O acesso aos dados, de acordo com uma investigação do DHS descrita no memorando, deveria ser limitado aos usuários da seção de inteligência da Rede de Informação de Segurança Nacional, conhecida como HSIN-Intel. Em vez disso, foi configurado para conceder acesso a “todos”, expondo as informações a dezenas de milhares de usuários do HSIN. Os usuários não autorizados que tiveram acesso incluíam trabalhadores do governo dos EUA focados em áreas não relacionadas à inteligência ou à aplicação da lei, como resposta a desastres, além de contratados do setor privado e funcionários de governos estrangeiros com acesso ao HSIN.
“DHS anuncia o HSIN como seguro e diz que as informações que ele contém são sensíveis, informações críticas de segurança nacional”, diz Spencer Reynolds, advogado do Brennan Center for Justice, que obteve o memorando por meio da FOIA e o compartilhou com a WIRED. “Mas este incidente levanta questões sobre quão seriamente eles levam a segurança da informação. Milhares e milhares de usuários ganharam acesso a informações que nunca deveriam ter.”
Os dados do HSIN-Intel incluem tudo, desde leads e dicas de aplicação da lei até relatórios sobre hacking estrangeiro e campanhas de desinformação, além de análises de movimentos de protesto doméstico. O memorando sobre a violação do HSIN-Intel menciona especificamente, por exemplo, um relatório discutindo “protestos relacionados a uma instalação de treinamento policial em Atlanta” — provavelmente os protestos Stop Cop City que se opõem à criação do Centro de Treinamento de Segurança Pública de Atlanta — observando que se concentrou em “mídia elogiando ações como jogar pedras, fogos de artifício e coquetéis molotov na polícia.”
No total, de acordo com o memorando sobre a investigação interna do DHS, 439 “produtos” do I&A na parte do HSIN-Intel da plataforma foram acessados de forma inadequada 1.525 vezes. Desses casos de acesso não autorizado, o relatório descobriu que 518 eram usuários do setor privado e outros 46 eram cidadãos não americanos. As instâncias de acessos de usuários estrangeiros estavam “quase inteiramente” focadas em informações de cibersegurança, observa o relatório, e 39% de todos os produtos de inteligência acessados de forma inadequada envolviam cibersegurança, como grupos de hackers patrocinados por estados estrangeiros e alvos estrangeiros de sistemas de TI do governo. O memorando também observou que alguns dos usuários não autorizados dos EUA que visualizaram as informações teriam sido elegíveis para acessar as informações restritas se tivessem solicitado para serem considerados para autorização.
“Quando esse erro de codificação foi descoberto, o I&A imediatamente corrigiu o problema e investigou qualquer dano potencial”, disse um porta-voz do DHS à WIRED em uma declaração. “Após uma revisão extensa, múltiplos órgãos de supervisão determinaram que não houve violação de segurança impactante ou séria. O DHS leva todas as medidas de segurança e privacidade a sério e está comprometido em garantir que sua inteligência seja compartilhada com parceiros federais, estaduais, locais, tribais, territoriais e do setor privado para proteger nossa pátria das numerosas ameaças adversárias que enfrentamos.”
O Escritório do Diretor de Inteligência Nacional, que supervisiona as agências de inteligência dos EUA, não respondeu a um pedido de comentário.
Embora a exposição tenha ocorrido sob a administração Biden, o memorando destaca os riscos dos dados de vigilância coletados sobre os americanos que persistem sob a administração atual, argumenta Jeramie Scott, diretor do Programa de Supervisão de Vigilância do Electronic Privacy Information Center, uma organização sem fins lucrativos de direitos digitais. De fato, ele argumenta que a relativa falta de transparência da administração Trump e a hostilidade do DHS a medidas de supervisão sugerem que, se uma violação de dados semelhante ocorresse agora, o público poderia nunca saber. Ele aponta, como exemplo, o fechamento efetivo do braço de supervisão do DHS de 150 pessoas conhecido como Escritório de Direitos Civis e Liberdades Civis. “Se isso estivesse ocorrendo então, esse tipo de coisa será capturado agora?” Scott pergunta. “Todos deveriam se preocupar com o fato de que coisas assim acontecem, e a supervisão só se deteriorou desde que esse incidente ocorreu.”
De acordo com o memorando sobre a investigação do DHS em sua exposição de inteligência, o Escritório de Privacidade do DHS inicialmente considerou que a violação teve “impacto mínimo a baixo”. Mas o autor do memorando, cujo nome foi redigido na forma divulgada sob a FOIA, determinou que o Escritório de Privacidade não havia considerado totalmente as informações pessoalmente identificáveis (PII) expostas na violação, particularmente as dos americanos, contradizendo essa avaliação de “baixo impacto”. O memorando recomendou como uma das conclusões da investigação que o I&A re-treinasse a equipe sobre as definições de PII.
Duas propostas de legislação atualmente em tramitação no Congresso buscam reformar ou restringir os poderes de vigilância do DHS, uma chamada Lei de Fortalecimento da Supervisão da Inteligência do DHS e outra que emendaria a Lei de Autorização de Inteligência de 2026 para impor novas restrições ao financiamento de alguns programas de vigilância doméstica do DHS. O advogado Reynolds do Brennan Center observa, no entanto, que as emendas têm exceções específicas para o compartilhamento de inteligência do DHS com outras agências governamentais ou contratados, portanto, provavelmente não afetariam o HSIN-Intel.
O memorando sobre a investigação do DHS em relação à exposição de dados do HSIN-Intel, Reynolds também aponta, não avalia os efeitos da violação em todas as outras organizações cujos dados foram vazados no incidente, ou mesmo menciona que os tesouros de dados sensíveis de outras agências foram impactados. “Dada a quantidade de dados, é altamente provável que eles tenham sido”, diz Reynolds. “Isso deve levantar alarmes para as agências em todo o país que confiam no Escritório de Inteligência e Análise com suas informações.”
De forma mais ampla, Scott do EPIC argumenta que a violação deve preocupar não apenas o DHS ou suas agências parceiras, mas todos que potencialmente caem sob o alcance da vigilância do DHS — em outras palavras, todos os americanos. “Isso afeta todos nos EUA por causa da amplitude dos programas de vigilância e inteligência que eles conduzem”, diz Scott. “Estamos falando de uma agência que faz inteligência doméstica. Isso implica todos nós.