8 de out de 2016

Delete sua conta do Yahoo imediatamente


Ao contrário do que dizem a declaração do Yahoo e a reportagem do New York Times, o programa de varredura da empresa, revelado pela Reuters no começo da semana, disponibilizava um backdoor personalizado para o serviço de e-mail da empresa, instalado de forma tão negligente que representava um risco à privacidade de milhões de usuários, de acordo com um ex-funcionário do Yahoo com conhecimento das práticas de segurança da empresa.

Embora haja diferentes versões circulando, não há divergências quanto aos seguintes pontos: Em 2015, o Yahoo disponibilizou ao governo dos EUA os meios necessários para varrer todo e qualquer e-mail que chegasse a todas as caixas de entrada do Yahoo Mail. A varredura foi mantida em sigilo absoluto — e de acordo com o testemunho de nossa fonte que trabalhava no Yahoo, nem mesmo os funcionários da equipe de segurança foram informados e, hoje, acreditam ter colocado em risco centenas de milhões de clientes desavisados.

O ex-funcionário, que trabalhou no Yahoo antes, durante e depois da instalação do programa de varredura de e-mails, pediu para não ter sua identidade revelada por conta de um acordo de confidencialidade assinado ao deixar a empresa, meses depois do programa ter sido descoberto internamente, há pouco mais de um ano. Nossa fonte se recusou a compartilhar certos nomes específicos por medo de violar seu acordo de confidencialidade e o de seus colegas, mas o The Intercept conseguiu confirmar as informações empregatícias da fonte no Yahoo, o que colocaria o ex-funcionário em condições de ter acesso a informações relevantes.

Os repórteres Charlie Savage e Nicole Perlroth, em artigo publicado no New York Times um dia depois da reportagem da Reuters, que menciona “dois agentes do governo que falaram de forma anônima”, descreveram a varredura de e-mails no Yahoo como uma simples modificação na técnica de varredura existente, implementada para detectar malware e pornografia infantil — algo comum em diversos outros serviços de e-mail e mensagens —, e não como uma ferramenta nova, desenvolvida especificamente para atender ao pedido de vigilância do governo. De acordo com a reportagem do NYT, o Yahoo simplesmente fez com que a varredura de pornografia e vírus investigasse apenas mais um detalhe (um tipo de “assinatura” relativa a um grupo terrorista ligado a um governo não identificado) durante o processo normal, em vez de ter desenvolvido uma varredura completamente nova, ou seja, a diferença existente entre um simples item acrescentado à sua lista de compras e uma outra visita ao supermercado. Ambas são varreduras em massa indiscriminadas com graves implicações em relação à Quarta Emenda da Constituição dos EUA (proteção contra buscas e apreensões arbitrárias), mas há distinções importantes a serem estabelecidas: De acordo com o ex-funcionário do Yahoo, uma simples “modificação dos filtros de e-mail [existentes] não teria levantado nossa suspeita… [a equipe de segurança] não teria conseguido detectá-la”. Muito pelo contrário, a equipe de segurança da empresa detectou “algo inédito, como se fosse algo que um hacker instalaria”. O que a equipe acreditou “ser, ou parecer, um rootkit”, um tipo de software instalado para permitir que terceiros tenham controle completo sobre um sistema de computadores sem serem detectados. Nesse caso, de acordo com nossa fonte que trabalhava no Yahoo, se tratava de um “programa sendo executado nos servidores que tinha acesso aos dados recebidos”.

Alex Stamos, o Ex-chefe de Segurança de Informações do Yahoo que, de acordo com a reportagem da Reuters, deixou a empresa após saber da cooperação com a ordem de varredura do governo dos EUA, parece ter se incomodado com a forma precária com que o mecanismo de varredura foi instalado. “Ele ficou especialmente ofendido por não ter sido comunicado da decisão”, contou o ex-funcionário do Yahoo. “O programa instalado para interceptação foi implementado de um jeito negligente, de forma que, se um hacker externo assumisse o controle dele, poderia ter lido basicamente os e-mail do Yahoo de todo mundo”, algo que nossa fonte atribui ao “fato de [o programa] ter sido instalado sem nenhuma revisão de segurança”.

A descoberta foi um choque para as pessoas que trabalham integralmente com a prevenção de algo desse gênero e, portanto, tomaram as mesmas medidas que tomariam em qualquer outro caso de descoberta de uma vulnerabilidade: registraram uma reclamação para que o problema fosse investigado e corrigido. A fonte do The Intercept explicou que “o protocolo padrão [a ser seguido pela] equipe de segurança é abrir um [caso de] problema de segurança e atribuí-lo à equipe responsável pelo componente, neste caso a [equipe] Mail, dizendo que isso precisa ser consertado dentro de 24-48 horas”, devido à gravidade do problema. “Naquele momento, [a equipe do Yahoo Mail] teria que ter explicado [a eles] por que não tinham consertado o problema, que ocorreu porque foi instalado por eles.” Mas nossa fonte contou que, após a equipe de segurança ter levantado suspeitas quanto a varredura de e-mail, ainda acreditando ter sido o trabalho de um hacker externo, e não de seus colegas, a reclamação desapareceu dos registros do Yahoo de forma repentina. “Eu procurei o caso e não consegui encontrá-lo”, contou o ex-funcionário da empresa. “Presumo que tenha sido apagado.”

Meses depois da instalação do programa, a equipe de segurança do Yahoo foi informada da verdade sobre o projeto de varredura. Porém, eles não podiam mais alterá-lo àquela altura — o que deixou alguns membros da equipe insatisfeitos. “Isso foi detectado a tempo de podermos aprimorar as coisas”, contou o ex-funcionário. “Eu fiquei muito chateado.”



Já não havia mais por que se ter uma conta do Yahoo nos dias de hoje. Mas depois da reportagem bombástica publicada pela Reuters na terça-feira, indicando que a enorme empresa de internet desenvolveu um serviço personalizado de grampos de e-mail para o governo dos EUA, sabemos que contas do Yahoo representam um risco à privacidade de cada um.

O repórter Joseph Menn, da Reuters, contou que, apenas no ano passado, optou por cooperar com uma ordem para desenvolver um “programa de software personalizado” para pesquisar todos os e-mails recebidos de seus clientes em busca de informações específicas, fornecidas por agentes de inteligência dos EUA — a NSA, em específico.

Ainda não é sabido o que eram — ou são — essas “informações específicas”, mas parece que a decisão da CEO do Yahoo, Marissa Mayer, de nem sequer questionar a solicitação extremamente abrangente, culminou com a saída do então Chefe de Segurança de Informações da empresa, Alex Stamos, atual chefe de segurança no Facebook.

Em mensagem direta por Twitter, Stamos contou ao The Intercept que “não comentaria nada a respeito do Yahoo”. Ao ser questionado se o Facebook havia recebido uma ordem semelhante do governo, Stamos respondeu que “enviaria a pergunta para a equipe de comunicação do Facebook”.

Um porta-voz do Facebook contou ao The Intercept que o “Facebook nunca recebeu uma solicitação como a descrita nas reportagens de nenhum governo, e, se houvéssemos recebido, a questionaríamos”.

Ainda não foi esclarecida a espécie de ordem recebida, mas de acordo com Andrew Crocker, advogado da Electronic Frontier Foundation, é muito provável que tenha sido usada a Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA – Foreign Intelligence Surveillance Act), que permite a coleta de comunicações em massa tendo como objeto de investigação um indivíduo estrangeiro.

O programa, porém, parece não ter tido nenhum alvo fora dos EUA. Pelo contrário, todas os usuários com contas de e-mail do Yahoo parecem terem sido colocados sob vigilância, independente de suas cidadanias.

Crocker acrescentou que o programa do Yahoo aparenta ser “de certa forma, mais problemático e abrangente” do que os programas de vigilância da NSA revelados nos últimos anos, como os programas de coleta de dados PRISM e Upstream. “É difícil pensar em uma interpretação”, explicou à reportagem da Reuters, “que não implique que o Yahoo está sendo solicitadO a varrer todas as comunicações nacionais sem mandado” ou motivos plausíveis.

“As consequências para a Quarta Emenda da Constituição dos EUA são estarrecedoras”, contou Crocker.

O programa do Yahoo, conforme descrito, também difere das coletas federais de dados pois a varredura ocorre em tempo real, à medida que as mensagens chegam à caixa de entrada do usuário, em vez de ser conduzida em um arquivo de comunicações armazenadas.

O fato de que todas as contas de e-mail do Yahoo foram sujeitas a esse tipo de vigilância parece não estar refletido nos números do relatório de transparência do Yahoo, que alega a existência de grampos em menos de 20 mil contas por ordem do governo americano. Também parece contradizer duas passagens do site de transparência do Yahoo, onde o Conselheiro Geral da empresa, Ron Bell, diz: “Lutamos contra quaisquer pedidos que consideremos obscuros, impróprios, ultra-abrangentes ou ilícitos”. E Mayer diz: “Trabalhamos duro por muitos anos para ganhar a confiança de nossos usuários e lutaremos para preservá-la”.

A reportagem da Reuters tem como fonte “dois ex-funcionários e uma terceira pessoa com informações sobre o ocorrido”, em vez de agentes do governo — o que aumenta a possibilidade de que pedidos semelhantes tenham sido enviados para outros grandes provedores de serviço.

Um porta-voz da Apple disse que “nunca recebemos um pedido desse tipo”, e que “se recebêssemos um, nos oporíamos a ele na justiça”. O porta-voz também indicou uma seção de uma carta aberta recente do CEO Tim Cook, que disse ainda ser válida:

“Por fim, gostaria de deixar absolutamente claro que nunca trabalhamos com nenhuma agência do governo de nenhum país para criar um backdoor para nenhum de nossos produtos ou serviços. Além de nunca termos permitido acesso a nossos servidores. E nunca faremos isso.”

Um porta-voz do Google nos enviou a seguinte nota de esclarecimento: “Nunca recebemos tal pedido, mas se recebêssemos, nossa resposta seria simples: ‘de jeito nenhum’.” Mais tarde, o porta-voz esclareceu que a empresa também não recebeu nenhuma “ordem” ou “pedido” desse efeito.

“Nunca nos envolvemos na varredura secreta de nossos tráfego de e-mails, como foi descrito pelo Yahoo hoje”, confirmou um porta-voz da Microsoft através de nota. O porta-voz preferiu não comentar se a empresa já recebeu esse pedido no passado.

Questionado quanto à possibilidade do Twitter ter recebido uma ordem do gênero focando seu sistema de mensagens, Nu Wexler, chefe de políticas públicas de comunicação da empresa, respondeu que “a lei federal proíbe que respondamos a pergunta, e estamos processando o Departamento de Justiça para podermos revelar mais informações sobre pedidos do governo”. O Twitter entrou com uma ação judicial em 2014.

Em outra declaração, Wexler esclareceu:

“Nunca recebemos um pedido como esse, e se recebêssemos, nós o questionaríamos na justiça. Paralelamente, como a lei federal proíbe que empresas possam compartilhar informações sobre certos tipos de pedidos relacionados à segurança nacional, estamos processando o Departamento de Justiça para podermos revelar mais informações sobre os pedidos do governo.”

Ao final, o Yahoo publicou a seguinte declaração. “O Yahoo é uma empresa que respeita e segue as leis dos EUA.”

Patrick Tomey, advogado da União Americana pelas Liberdades Civis, disse em nota que “o pedido enviado ao Yahoo parece não ter precedentes e ser inconstitucional. O governo parece ter convencido o Yahoo a conduzir exatamente o tipo de busca abrangente e sem suspeita que a Quarta Emenda se propunha a proibir”.

E acrescentou: “É profundamente decepcionante que o Yahoo tenha se recusado a questionar um pedido de vigilância tão amplo, já que clientes contam com empresas de tecnologia enfrentem na justiça novas demandas de espionagem.”


Foto principal: Um segurança tenta impedir fotógrafos de registrarem o logotipo do Yahoo em seu escritório em Hong Kong. 18 de outubro de 2005.

Sam Biddle

Nenhum comentário:

Postar um comentário

Comentários com links NÃO serão aceitos.

Os comentários são de total responsabilidade de seus autores e não representam necessariamente a opinião do blog

Comentários anônimos NÃO serão publicados, como também não serão tolerados spams, insultos, discriminação, difamação ou ataques pessoais a quem quer que seja.

É vetada a inserção de comentários que violem a lei, a moral e os bons costumes ou violem direitos de terceiros. O blog poderá retirar, sem prévia notificação, comentários postados que não respeitem os criterios impostos neste aviso ou que estejam fora do tema proposto.