O ransomware há muito tempo assola municípios americanos. Parecia ser outro ataque típico de ransomware que impactou a cidade de Columbus, Ohio, em julho passado. A resposta da cidade ao hack, no entanto, não foi, e especialistas em segurança cibernética e jurídica em todo o país questionam seus motivos.
Connor Goodwolf (nome legal é David Leroy Ross) é um consultor de TI que investiga a dark web como parte de seu trabalho. “Eu rastreio crimes do tipo dark web, organizações criminosas e coisas como as que o CEO do Telegram foi preso”, disse Goodwolf.
Então, quando a notícia de que a cidade de Columbus, sua cidade natal, havia sido invadida, Goodwolf fez o que faz: ele vasculhou online. Não demorou muito para descobrir o que os hackers tinham em sua posse.
“Não foi a maior, mas foi uma das violações mais impactantes que já vi”, disse Goodwolf.
De certa forma, ele descreveu isso como uma violação de rotina, com informações pessoais identificáveis, informações de saúde protegidas, números de Seguro Social e fotos de carteira de motorista expostas. No entanto, como vários bancos de dados foram violados, foi mais abrangente do que outros ataques. De acordo com Goodwolf, os hackers violaram vários bancos de dados da cidade, da polícia e do gabinete do promotor. Havia registros de prisão e informações confidenciais sobre menores e vítimas de violência doméstica. Alguns dos bancos de dados violados, ele diz, remontam a 1999.
Goodwolf encontrou mais de três terabytes de dados que levaram mais de 8 horas para serem baixados.
“A primeira coisa que vejo é o banco de dados do promotor, e fico tipo ‘puta merda’, essas são vítimas de violência doméstica. Quando se trata de vítimas de violência doméstica, precisamos protegê-las ao máximo porque elas já foram vítimas uma vez, e agora estão sendo novamente por terem suas informações expostas”, disse ele.
A primeira ação de Goodwolf foi contatar a cidade para informá-los sobre a gravidade da violação, porque o que ele viu contradizia declarações oficiais. Em uma coletiva de imprensa em 13 de agosto, o prefeito de Columbus, Andrew Ginther, disse: “Os dados pessoais que o agente da ameaça publicou na dark web foram criptografados ou corrompidos, então a maioria dos dados que vieram do agente da ameaça são inutilizáveis.”
Mas o que Goodwolf estava descobrindo não apoiava essa visão. “Tentei entrar em contato com a cidade várias vezes, com vários departamentos, e fui ignorado”, disse ele.
A Mandiant, de propriedade do Google, bem como muitas outras outras empresas de segurança cibernética de pontavêm monitorando um aumento contínuo nos ataques de ransomware, tanto em prevalência quanto em gravidade, e a ascensão do Rhysida Group, responsável pelo hack do Columbus, que ganhou destaque no ano passado.
O Rhysida Group assumiu a responsabilidade pelo hack. Embora não se saiba muito sobre a gangue cibernética, Goodwolf e outros especialistas em segurança dizem que eles parecem ser patrocinados pelo estado e baseados na Europa Oriental, possivelmente ligado à Rússia. Goodwolf diz que essas gangues de ransomware são “operações profissionais” com uma equipe, férias remuneradas e relações públicas.
“Eles intensificaram os ataques e alvos desde o outono passado”, disse ele.
Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA emitiu um boletim sobre Rhysida em novembro passado.
Goodwolf disse que, como ninguém da cidade respondeu a ele, ele foi até a mídia local e compartilhou dados com jornalistas para divulgar a seriedade da violação. E foi então que ele ouviu da cidade de Columbus, na forma de um processo e uma ordem de restrição temporária, impedindo-o de disseminar informações adicionais.
A cidade defendeu sua resposta em uma declaração à CNBC:
“A cidade inicialmente solicitou essa ordem, que foi concedida pelo Tribunal, para impedir a divulgação de informações sigilosas e confidenciais, incluindo potencialmente as identidades de policiais disfarçados, que ameaçam a segurança pública e as investigações criminais.”
A ordem de restrição temporária de 14 dias da cidade contra Goodwolf já expirou, e agora ela tem uma liminar e um acordo com Goodwolf para não divulgar mais dados.
“Deve-se notar que a ordem do Tribunal não proíbe o réu de discutir a violação de dados ou mesmo descrever que tipo de dados foi exposto”, acrescentou a declaração da cidade. “Simplesmente proíbe o indivíduo de disseminar os dados roubados postados na dark web. A Cidade continua engajada com autoridades federais e especialistas em segurança cibernética para responder a essa intrusão cibernética.”
Enquanto isso, o prefeito teve que fazer um mea culpa em uma coletiva de imprensa subsequente, dizendo que suas declarações iniciais foram baseadas nas informações que ele tinha na época. “Era a melhor informação que tínhamos na época. Claramente, descobrimos que era uma informação imprecisa e eu tenho que aceitar a responsabilidade por isso.”
Percebendo que a exposição aos moradores era maior do que se pensava inicialmente, a cidade está oferecendo dois anos de monitoramento de crédito gratuito da Experian. Isso inclui qualquer pessoa que tenha tido contato com a cidade de Columbus por meio de uma prisão ou outro negócio. Columbus também está trabalhando com a Assistência Jurídica para ver quais proteções adicionais são necessárias para vítimas de violência doméstica que podem ter sido comprometidas ou precisam de ajuda com ordens de proteção civil.
Até o momento, a cidade não pagou os hackers, que exigiam US$ 2 milhões em resgate.
“Ele não é Edward Snowden”
Aqueles que estudam direito de segurança cibernética e trabalham na área ficaram surpresos com o fato de Columbus ter entrado com uma ação civil contra o pesquisador.
“Ações judiciais contra pesquisadores de segurança de dados são raras”, disse Raymond Ku, professor de direito na Case Western Reserve University. Nas raras ocasiões em que acontecem, ele disse, geralmente é quando o pesquisador é acusado de ter divulgado como uma falha foi ou pode ser explorada, o que permitiria que outros tirassem vantagem da falha também.
“Ele não era Edward Snowden”, disse Kyle Hanslovan, CEO da empresa de segurança cibernética Huntress, que se descreveu como preocupado com a resposta da cidade de Columbus e o que isso poderia significar para futuras violações. Snowden era um funcionário contratado do governo que vazou informações confidenciais e enfrentou acusações criminais, mas se considerava um denunciante. Goodwolf, diz Hanslovan, é um bom samaritano que encontrou independentemente os dados violados.
“Neste caso, parece que acabamos de silenciar alguém que, até onde posso perceber, parece ser um pesquisador de segurança que fez o mínimo e confirmou que as declarações oficiais feitas não eram verdadeiras. Isso não pode ser um uso apropriado dos tribunais”, disse Hanslovan, prevendo que o caso será rapidamente anulado.
Advogado da cidade de Columbus, Zach Klein disse durante uma conferência de imprensa em setembro que o caso “não era sobre liberdade de expressão ou denúncia. Trata-se de baixar e divulgar registros investigativos criminais roubados.”
Hanslovan se preocupa com o efeito cascata em que consultores e pesquisadores de segurança cibernética têm medo de fazer seu trabalho por medo de serem processados. “A história maior aqui é que estamos vendo o surgimento de um novo manual” para resposta de hacking em que indivíduos são silenciados, e isso não deve ser bem-vindo, ele disse. “Silenciar qualquer opinião, mesmo por 14 dias, pode ser o suficiente para impedir que algo confiável venha à tona, e isso me apavora”, disse Hanslovan. “Essa voz precisa ser ouvida. À medida que vemos maiores incidentes de segurança cibernética surgindo, estou preocupado que as pessoas fiquem mais preocupadas em trazê-los à tona.”
Scott Dylan, fundador da empresa de capital de risco NexaTech Ventures, sediada no Reino Unido, também acredita que as ações da cidade de Columbus podem induzir um efeito inibidor no campo da segurança cibernética.
“À medida que o campo do direito cibernético continua a amadurecer, este caso provavelmente será referenciado em discussões futuras sobre o papel dos pesquisadores após violações de dados”, disse Dylan.
Ele diz que as estruturas legais devem evoluir para acompanhar a sofisticação dos ataques cibernéticos e os dilemas éticos que eles geram, e a abordagem adotada por Columbus é um erro.
Enquanto isso, o processo legal vai continuar para Goodwolf. Apesar de Columbus e Goodwolf terem chegado a um acordo na semana passada sobre a disseminação de informações, a cidade ainda está processando-o por danos em um processo civil que pode chegar a US$ 25.000 ou mais. Goodwolf está se representando em suas conversas com a cidade, embora diga que tem um advogado de prontidão, se necessário.
Alguns moradores entraram com uma ação coletiva contra a cidade. Goodwolf diz que 55% das informações violadas foram vendidas na dark web, enquanto 45% estão disponíveis para qualquer um com as habilidades para acessá-las.
Dylan acha que a cidade está correndo um grande risco, mesmo que suas ações possam ser legalmente defensáveis, ao criar a aparência de uma tentativa de silenciar o discurso em vez de encorajar a transparência. “É uma estratégia que pode sair pela culatra, tanto em termos de confiança pública quanto em litígios futuros”, disse ele.
“Espero que a cidade perceba o erro de entrar com uma ação civil e as implicações não apenas na segurança”, disse Goodwolf, observando que a Intel está construindo uma instalação de US$ 1 bilhão em um subúrbio de Columbus. Nos últimos anos, a cidade tem se posicionado como um novo centro de tecnologia no Centro-Oeste, e atacar white hats e pesquisadores de segurança cibernética, disse ele, pode fazer com que alguns no setor de tecnologia a repensem como um local.