Funcionários e engenheiros de segurança do Facebook ajudaram o FBI a rastrear um predador infantil notório, auxiliando uma empresa terceirizada a desenvolver uma brecha em uma versão focada na segurança do sistema operacional Linux, Tails, segundo uma reportagem da Vice. Mas eles o fizeram silenciosamente e sem notificar os desenvolvedores da distribuição Tails depois de conseguirem utilizar a principal falha, potencialmente violando normas do setor de cibersegurança, enquanto entregavam um backdoor de vigilância a agentes federais.

De acordo com a Vice, há anos o Facebook rastreia um suspeito que costumava usar a plataforma para extorquir mulheres jovens para fotos e vídeos nus, além de enviar ameaças de estupro, atentados e tiroteios em escolas.

Buster Hernandez, que é do estado da Califórnia, foi acusado e preso em agosto de 2017 e recentemente se declarou culpado de 41 acusações que poderiam levá-lo à prisão perpétua. Sob o pseudônimo de “Brian Kill”, mostram os documentos do tribunal, Hernandez atacou centenas de meninas menores de idade durante um período de anos com chantagem e ameaças terroristas. Além do Facebook, ele teria atraído a atenção de escritórios do FBI de diferentes localidades.

Hernandez conseguiu escapar da captura por tanto tempo porque usou o Tails, uma versão do Linux projetada para usuários com alto risco de vigilância e que roteia todas as conexões de entrada e saída por meio da rede Tor para torná-las anônimas. Segundo a Vice, o FBI tentou invadir o computador de Hernandez, mas falhou, pois a abordagem usada “não foi adaptada para o Tails”. Hernandez começou a zombar do FBI em mensagens subsequentes, disseram dois funcionários do Facebook para a Vice.

O Facebook encarregou um funcionário dedicado a desmascarar Hernandez, desenvolveu um sistema automatizado para sinalizar contas criadas recentemente que enviavam mensagens a menores e fez da captura de Hernandez uma prioridade para suas equipes de segurança.

Eles também pagaram uma quantia de seis dígitos para um terceirizado para ajudar a desenvolver uma brecha zero-day no Tails: um bug no seu player de vídeo que permitiu recuperar o endereço IP de quem assistisse a um vídeo.

Três fontes disseram à Vice que um intermediário passou a ferramenta para o FBI, que obteve um mandado de busca para que uma das vítimas enviasse um arquivo de vídeo modificado para Hernandez (uma tática que a agência já havia usado antes).

Não há evidências claras de que o FBI soubesse que a brecha foi desenvolvida em parte pelo Facebook, levantando a questão de que a rede planejava controlar seu nível de envolvimento na iniciativa. Também existem questões éticas óbvias com o desenvolvimento de falhas no produto de outra empresa, especialmente o Tails, que foi projetado tendo em vista a segurança dos usuários, incluindo repórteres, denunciantes, vítimas de perseguição e ativistas políticos.

O Facebook também nunca notificou a equipe do Tails sobre a falha — rompendo uma longa tradição de divulgação do setor, na qual os desenvolvedores relevantes são notificados sobre vulnerabilidades antes de se tornarem públicas, para que tenham a chance de implementar uma correção.

Fontes disserem à Vice que, como uma atualização futura do Tails estava programada para remover o código vulnerável, o Facebook não se incomodou em fazê-lo, embora a empresa de mídia social não tenha motivos para acreditar que os desenvolvedores do Tails já descobriram o bug.

Alguns funcionários e ex-funcionários do Facebook conscientes da decisão de ajudar o FBI foram críticos à postura da empresa, com um deles dizendo à Vice que o “precedente de uma empresa privada que compra uma falha zero day para ir atrás de um criminoso” era “errada” e “vaga”. Outros disseram ao site que esta era uma decisão tomada como último recurso e que não estabelece um precedente, com um deles dizendo que era a “coisa certa” a ser feita e que outras empresas não estariam dispostas a “[gastar] a quantidade de tempo e recursos para tentar limitar danos causados por um criminoso”.

As notícias da operação também chegam quando alguns membros do Congresso dos EUA, o FBI e outras agências federais, como os Departamentos da Justiça e Segurança Interna, levantaram alarmes sobre a criptografia de ponta a ponta, exigindo que as empresas de tecnologia construam backdoors de vigilância em seus produtos.

Fazer isso não só resultaria em uma vigilância em massa muito mais intensiva do governo sobre comunicações privadas, mas também em um pesadelo de segurança se as chaves para explorar essas brechas caírem em mãos erradas.

O Facebook lutou contra outras tentativas de força-lo a comprometer a segurança de seus próprios produtos, derrotando com sucesso a ordem de uma força-tarefa antidrogas de acessar conversas do Messenger para capturar uma quadrilha da gangue MS-13.

Um projeto de lei atualmente em circulação no Congresso dos EUA criaria uma comissão de 19 membros não eleitos que poderia definir os melhores padrões para as empresas de internet e penalizá-las se elas não atenderem, o que tem sido amplamente interpretado como uma solução final para as recusas de muitas empresas de criar backdoors de vigilância.

Não está claro se o FBI poderia ter usado a brecha de segurança em outros casos ou poderia ter passado para outras agências federais.

O senador Ron Wyden disse à Vice: “O FBI a reutilizou em outros casos? Eles compartilharam a vulnerabilidade com outras agências? Eles enviaram a falha zero-day para análise pelos processos de equidade entre vulnerabilidades entre agências? Está claro que precisa haver mais esclarecimentos sobre como o governo usa ferramentas de hackers e se as regras em vigor fornecem proteções adequadas”.

“O único resultado aceitável para nós foi Buster Hernandez enfrentar responsabilidade pelo abuso de meninas”, disse um porta-voz do Facebook à Vice. “Esse era um caso único, porque ele estava usando métodos tão sofisticados para esconder sua identidade, que nos levou a ações extraordinárias de trabalho com especialistas em segurança para ajudar o FBI a levá-lo à Justiça”.