Suécia vaza informações pessoais de milhões de seus próprios cidadãos
Existem erros graves de segurança e existem erros lendários de segurança. Este claramente se encaixa na última categoria. O primeiro-ministro sueco, Stefan Lofven, confirmou em uma coletiva de imprensa na segunda-feira (24) que sua administração potencialmente expôs a informação pessoal de milhões de cidadãos suecos.
• Como o Google está impedindo ataques de phishing de aplicativos não verificados
• Quase 90 mil sex bots invadiram o Twitter, enganando milhões de pessoas
Normalmente, para um erro ser lendário, ele precisa de tempo — nada se torna instantaneamente uma lenda. Bem, mesmo que essa história esteja ganhando atenção só agora, o erro inicial ocorreu em setembro de 2015. Foi quando a Agência Sueca de Transportes (STA, na sigla em inglês) começou a terceirizar seu banco de dados e seu gerenciamento de serviços de TI para empresas privadas como a IBM, na Tchéquia, e a NCR, na Sérvia.
O que aconteceu a seguir está gradualmente se tornando mais claro. Uma série de reportagens do jornal sueco Dagens Nyheter começou a trazer mais informações ao público em julho, e o fundador do Partido Pirata/defensor da privacidade Rick Falkvinge distribuiu a informação para o mundo.
Pelo que entendemos, a agência subiu todos os seus dados para os servidores em nuvem da IBM e da NCR, onde esteve acessível para pessoas fora da Suécia que não tinham autorização de segurança adequada.
Essas informações incluíam todos os detalhes que você encontraria em um registro de veículo: os nomes, as fotos e os endereços residenciais de milhões de cidadãos suecos. Isso é um problema por si só. Mas essas informações estavam disponíveis publicamente por solicitação. O que não estava disponível publicamente era a informação pessoal sobre membros das forças armadas, forças especiais secretas, suspeitos procurados pela polícia, cidadãos em programas de proteção à testemunha, informações completas sobre o modelo e condição de todos os veículos militares e especificações técnicas de estradas e pontes.
Embora a Sérvia e a Tchéquia não sejam exatamente inimigas da Suécia, ambos os países assumiram posições anti-União Europeia, e seus serviços de inteligência provavelmente estariam interessados em todos esses dados restritos.
Além disso, os dados também estavam disponíveis para todos os funcionários de TI da STA na Suécia, já que eles estavam sendo demitidos. O que significa que os trabalhadores descontentes puderam baixá-los por um curto período de tempo. Então, outra violação ocorreu.
Em março de 2016, as informações de veículos disponíveis publicamente deveriam ter sido disponibilizadas para profissionais de marketing aprovados que se inscrevessem em uma base de dados especial. De alguma forma, o banco de dados também continha a informação de milhares de pessoas com identidades protegidas. O Serviço Secreto Sueco detectou o erro e notificou a STA. Os administradores começaram a piorar a situação que já era ruim, enviando um email diário comum em texto claro que identificava toda a informação que deveria ser protegida, e eles pediram que os fornecedores simplesmente a removessem de seus bancos de dados.
A diretora geral da STA, Maria Agren, renunciou em janeiro devido a “pontos de vista diferentes sobre como o negócio seria conduzido”, de acordo com o veículo de imprensa sueco SVT. Agren foi multada em US$ 8.500 por um tribunal sueco no mês passado por ser descuidada com informações secretas, de acordo com o Financial Times.
Sério, absorva essa informação. A diretora geral admitiu a assinatura de “uma decisão de abandonar a legislação atual e as diretrizes da Agência de Transportes para acesso a sistemas e servidores”, o que posteriormente expôs toneladas de dados seguros, e foi multada em apenas US$ 8.500.
Na entrevista coletiva dessa segunda-feira, o primeiro-ministro Lofven disse que sabe da situação desde janeiro. Ele disse que uma revisão das políticas internas seria conduzida e que ele ainda tem plena fé em todos os seus ministros. Os partidos de oposição indicaram que estão considerando colocar uma moção de falta de confiança diante do Parlamento para debate.
Você pode ler uma linha de tempo completa dessa história absurda clicando aqui. E seria um crime não incluirmos a avaliação de Falkvinge da moral desta história: “Qualquer garantia governamental para manter seus dados seguros tem tanto valor como um caminhão de ratos mortos em uma fábrica de absorventes”.
[SVT, The Hacker News, Bloomberg, Private Internet Access, Financial Times]
Imagem do topo: Getty