Nesta semana, Bryan Seely, um engenheiro de redes, me mostrou gravações de duas chamadas telefônicas. Elas foram feitas por cidadãos comuns para o escritório do FBI em San Francisco, nos EUA, e para o Serviço Secreto em Washington DC. Nem quem ligou, e nem quem recebeu a chamada, sabia que Seely gravou as ligações secretamente. E ele usou o Google Maps para fazer isso.
Falamos recentemente sobre quão fácil foi para Seely encher o Google Maps de indicações falsas. Ele nos revelou também uma forma ainda mais perturbadora de usar a atitude laissez-faire do Google para verificações quem está inserindo conteúdo – lacunas que são conhecidas há pelo menos quatro anos.
As pessoas que fizeram as chamadas gravadas por Seely pensavam estar falando diretamente com agências governamentais, já que olharam o número de telefone no Google Maps. O que elas não imaginavam era que Seely havia listado números falsos do escritório do FBI em San Francisco e do Serviço Secreto em Washington, D.C. Ele colocou números de uma conta telefônica pertencentes a ele, e não aos escritórios federais. Após os números de Seely receberem as chamadas, elas eram redirecionadas para os escritórios reais, mas agora o áudio das chamadas estava sendo gravado.
Seely explicou:
Quem vai pensar duas vezes sobre o que o Google publica em seus mapas? Todo mundo confia no Google implicitamente e isso é completamente injustificável e totalmente inseguro. Eu poderia fazer uma duplicata da Casa Branca e gravar todas as chamadas feitas para lá. Eu poderia fazer isso para cada Senador, cada Congressista, cada prefeito, cada governador. Cada democrata, ou republicano.
Seely, que já trabalhou para empresas de tecnologia como Microsoft e Avanade, costumava receber para encher o Google Maps de spam. Ele alega ter falsificado as informações governamentais usando números do seu código de área para eles se destacarem, já que o Google ignorou seus avisos e sugestões para consertar as falhas duradouras do sistema. Seely disse que não foi levado a sério até essa semana, quando entrou em um escritório do Serviço Secreto perto da sua casa em Seattle. Quando ele estava por lá, disse ter recebido uma notificação em seu telefone de uma chamada que havia sido interceptada: era um policial de Washington D.C. ligando para o Serviço Secreto para informar sobre uma investigação em andamento.
Depois disso, Seely disse ter sido revistado e colocado em uma sala para interrogatório. Emails trocados com o Serviço Secreto indicam que o agente especial encarregado o chamou de “herói” por divulgar esta grande falha de segurança. Ele foi liberado após algumas horas.
Seely diz que as listagens federais, que apareciam na segunda posição quando eu checava o Google Maps, ficaram no ar durante quatro dias. Ele tirou todas elas quando o Serviço Secreto pediu (as screenshots que aparecem mais abaixo foram tiradas por mim na quarta-feira pela manhã). Ele escolheu aquele escritório do FBI em particular porque, como ele explica, tinha assistido recentemente A Rocha, filme em que Nicolas Cage trabalha para o FBI em San Francisco.
O Google me disse que estava analisando a questão. Eles afirmam ter feito algumas alterações. O FBI não respondeu às minhas ligações ou emails. Brian Leary, representante do Serviço Secreto, nos deu a seguinte declaração:
O incidente em questão envolve um indivíduo postando seu próprio número de telefone como se fosse do escritório do Serviço Secreto no Google Maps. Quando cidadãos desavisados usavam este número incorreto para entrar em contato com o Serviço Secreto, a chamada era dirigida para um sistema de terceiros e gravada. Essa não é uma vulnerabilidade que compromete nosso sistema de telefones. Virtualmente, qualquer número de telefone que aparece em plataformas de crowdsourcing pode ser manipulado desta forma.
As gravações de áudio postadas acima são relativamente inócuas. Um rapaz liga para o FBI para perguntar sobre um email de phishing que diz que ele ganhou na loteria; uma mulher liga para o Serviço Secreto para pedir o endereço do inspetor geral. Mas as implicações são enormes, como Seely explicou:
É isso o que faço quando estou entediado. Eu descobri um problema de segurança nacional enquanto estava no McDonald’s. Minha internet em casa foi instalada recentemente, então todos esses hacks e tudo mais foram descobertos quando estava usando o Wi-fi do McDonald’s observando minha filha brincar com outras crianças.
Apontar para o Google e dizer que suas práticas são más se tornou algo quase tão superficial quanto usar seus produtos. Mas essa apatia vem com um preço. Para um gigante de US$ 400 bilhões, é bem fácil fazer vista grossa para golpes duradouros no seu sistema de mapas internacionais, assim como é bem fácil acabar com um produto rival que é melhor do que o seu.
Como muitos geeks que sabem como criar um sistema, Seely sofre de uma espécie de megalomania. Isso poderia ser evitado, ele afirma, se o Google considerasse a solução dessas lacunas como uma prioridade – ou se dessem a ele um emprego. Em vez disso, ele foi forçado a ser criativo e criar listagens falsas. Ele começou uma conta no Twitter chamada Maptivists e postou alguns dos golpes mais bestas.
Isso fez Seely parar no noticiário em Seattle e chamar a atenção de especialistas em mapas, buscas locais e SEO, assim como fez com que Dan Pritchett, diretor de engenharia do Google, ligasse para ele. A empresa chegou a ele através de Mike Blumenthal, um blogueiro de mapas, que disse que o Google queria conversar, mas para isso Seely precisaria tirar as brincadeiras do ar. Pritchett concordou em conversar se a ligação jamais fosse mencionada. Quando conversaram, Seely disse que Pritchett estava preocupado:
Mas ele estava me tratando como merda durante toda a conversa e eu havia enviado um email para ele dois meses antes explicando como consertar essas coisas, e estava cansado de ver aqueles spams… Então comecei a pensar, eu estava bem bravo com os caras do Google e tentava descobrir uma forma de mostrar para eles como isso poderia se tornar um problema…
Em vez de trabalhar com Seely e perguntar como ele fez aquilo, o Google tentou “engenharia reversa nos que eu deixei aberto para eles”, ele explicou. Mas as listagens governamentais eram diferentes.
Eu fiz esses cuidadosamente. Fiz eles para serem especiais. Acho que sei como a busca é feita, com as ferramentas próprias de backend, acho que sei como eles fazem para buscar spam, e como disfarçar o spam, e eles não conseguiram encontrá-los.
Para construir seus locais públicos falsos, Seely começou com a ferramenta Google Map Maker (para as estradas e tal), e então mudou para o Google Places, que é puramente para empresas e recentemente atualizou suas “diretrizes de qualidade“, para ajustar as listagens no estágio final. Ele começou com um endereço de IP novo e uma conta nova do Gmail. Então, o Google lhe deu duas opções, como ele explicou:
…digite este código e então você é verificado para provar que é um humano, e então não precisa parecer uma máquina automatizada. Eu fui direto para a verificação por telefone porque da forma como esses sistemas são construídos, assume-se que ninguém quer ter mais trabalho – todo mundo quer a forma mais fácil. Então você escolhe a forma mais fácil e nós não confiamos em você, se você escolhe a forma mais trabalhosa e verifica imediatamente por telefone, “Ah, você deve ser uma pessoa e então é tudo legítimo.”
Como um especialista disse ao Komo News, que foi o primeiro a falar sobre as brincadeiras de Seely: “Não é um hack, não é uma vulnerabilidade, é uma falha na forma como a lógica é definida.”
Seely usou um software chamado Dynamic Interactive para gerar números de telefone e gravar as ligações. Ele entrou em contato com o Google após algumas semanas, mas mais pessoas pressionaram a empresa sobre essa questão ao longo dos últimos anos. Dan Austin, que faz consultoria para Blumenthal, nos explicou:
O que Bryan também está falando é que algumas categorias são consideradas “benignas”, como estacionamentos, ou escritórios governamentais. Algumas categorias sofrem com muito spam, como chaveiros. Então algumas vão exigir cartão postal ou verificação manual, e outras apenas verificação por telefone e/ou aprovação automática. Um bom spammer, através de tentativa e erro, sabe onde atacar.
O Google dirá “isso é um problema pequeno. Nós não sabemos sobre isso.” Mas é besteira.
Austin deveria saber. Em 2010, após pedido do Google, ele começou uma consultoria com Mark Ewing, um gerente de produtos do Google para qualidade de dados locais, e com James Therrien, que trabalha na comunidade Google Geo desde 2012, com base em uma troca de emails que eles compartilharam conosco.
Por que não consertar o problema? Austin diz que há uma pequena indústria em torno de encher o Google Maps de listagens falsas de empreendimentos como chaveiros, o setor com mais abusos, e então encaminhar chamadas feitas por usuários do Google para call centers. As centrais então despachavam trabalhadores que só aceitavam dinheiro e cobravam mais, ou, em alguns casos, eles vendiam os anúncios de volta para os negócios locais que eram expulsos do Google. “Eles fizeram muito dinheiro com AdWords para se importarem com pequenos negócios”, explicou Seely, citando um spammer que fez US$ 10 milhões em um ano.