Especialista em dark web alertou a cidade natal dos EUA sobre um grande hack. A cidade está processando

O ransomware há muito tempo assola os municípios americanos. Parecia ser outro ataque típico de ransomware que impactou a cidade de Columbus, Ohio, em julho passado. A resposta da cidade ao hack, no entanto, não foi, e há especialistas jurídicos e de segurança cibernética em todo o país questionando seus motivos.

Connor Goodwolf (nome legal é David Leroy Ross) é um consultor de TI que investiga a dark web como parte de seu trabalho. “Eu rastreio crimes do tipo dark web, organizações criminosas e coisas como as razões pelas quais o CEO do Telegram foi preso”, disse Goodwolf.

Então, quando se espalhou a notícia de que a cidade de Columbus, sua cidade natal, havia sido invadida, Goodwolf fez o que fez: vasculhou online. Não demorou muito para descobrir o que os hackers tinham em posse.

“Não foi a maior, mas foi uma das violações mais impactantes que já vi”, disse Goodwolf.

De certa forma, ele descreveu isso como uma violação rotineira, com informações pessoais identificáveis, informações protegidas de saúde, números de Seguro Social e fotos de carteiras de motorista expostas. No entanto, como vários bancos de dados foram violados, o ataque foi mais abrangente do que outros ataques. De acordo com Goodwolf, os hackers violaram vários bancos de dados da cidade, da polícia e do Ministério Público. Havia registros de prisões e informações confidenciais sobre menores e vítimas de violência doméstica. Alguns dos bancos de dados violados, diz ele, remontam a 1999.

Goodwolf encontrou mais de três terabytes de dados que levaram mais de 8 horas para serem baixados.

“A primeira coisa que vejo é o banco de dados do promotor, e penso ‘puta merda’, essas são vítimas de violência doméstica. Quando se trata de vítimas de violência doméstica, precisamos protegê-las ao máximo porque elas já foram vitimadas uma vez , e agora estão novamente tendo suas informações expostas”, afirmou.

A primeira ação de Goodwolf foi entrar em contato com a cidade para informar a gravidade da violação, pois o que viu contradizia as declarações oficiais. Em uma coletiva de imprensa em 13 de agosto, o prefeito de Columbus, Andrew Ginther, disse: “Os dados pessoais que o ator da ameaça publicou na dark web foram criptografados ou corrompidos, portanto, a maioria dos dados provenientes do ator da ameaça são inutilizáveis”.

Mas o que Goodwolf descobriu não apoiava essa visão. “Tentei entrar em contato com a cidade várias vezes, com vários departamentos, e fui rejeitado”, disse ele.

A Mandiant, de propriedade do Google, bem como muitas outras grandes empresas de segurança cibernéticatêm monitorado um aumento contínuo nos ataques de ransomware, tanto em prevalência quanto em gravidade, e a ascensão do Grupo Rhysida por trás do hack do Columbus, que ganhou destaque no ano passado.

O Grupo Rhysida assumiu a responsabilidade pelo hack. Embora não se saiba muito sobre a gangue cibernética, Goodwolf e outros especialistas em segurança dizem que eles parecem ser patrocinados pelo Estado e baseados na Europa Oriental. possivelmente ligado à Rússia. Goodwolf diz que essas gangues de ransomware são “operações profissionais” com equipe, férias remuneradas e pessoal de relações públicas.

“Eles intensificaram os ataques e os alvos desde o outono passado”, disse ele.

A Agência de Segurança Cibernética e de Infraestrutura do governo dos EUA emitiu um boletim sobre Rhysida em novembro passado.

Goodwolf disse que, como ninguém da cidade respondeu a ele, ele foi à mídia local e compartilhou dados com jornalistas para divulgar a gravidade da violação. E foi então que ele teve notícias da cidade de Columbus, na forma de ação judicial e medida cautelar que o impedia de divulgar informações adicionais.

A cidade defendeu sua resposta em comunicado à CNBC:

“A cidade inicialmente agiu para obter esta ordem, que foi concedida pelo Tribunal, para evitar a divulgação de informações sensíveis e confidenciais, incluindo potencialmente as identidades de policiais disfarçados, que ameaçam a segurança pública e as investigações criminais”.

A ordem de restrição temporária de 14 dias da cidade contra Goodwolf expirou e agora ela tem uma liminar e um acordo com Goodwolf para não divulgar mais dados.

“Deve-se notar que a ordem judicial não proíbe o réu de discutir a violação de dados ou mesmo de descrever que tipo de dados foram expostos”, acrescentou o comunicado da cidade. “Isso simplesmente proíbe o indivíduo de divulgar os dados roubados publicados na dark web. A cidade continua envolvida com as autoridades federais e especialistas em segurança cibernética para responder a esta intrusão cibernética”.

Entretanto, o presidente da Câmara teve de fazer um mea culpa numa conferência de imprensa subsequente, dizendo que as suas declarações iniciais se basearam nas informações que tinha na altura. “Era a melhor informação que tínhamos na época. Claramente, descobrimos que eram informações imprecisas e tenho que aceitar a responsabilidade por isso.”

Percebendo que a exposição aos residentes era maior do que se pensava, a cidade está oferecendo dois anos de monitoramento de crédito gratuito da Experian. Isto inclui qualquer pessoa que tenha tido contacto com a cidade de Columbus através de uma prisão ou outro negócio. Columbus também está trabalhando com Assistência Jurídica para ver quais proteções adicionais são necessárias para vítimas de violência doméstica que possam ter sido comprometidas ou que precisem de ajuda com ordens de proteção civil.

Até o momento, a cidade não pagou aos hackers, que exigiam US$ 2 milhões em resgate.

‘Ele não é Edward Snowden’

Aqueles que estudam direito de segurança cibernética e trabalham na área ficaram surpresos com o fato de Columbus ter entrado com uma ação civil contra o pesquisador.

“Ações judiciais contra pesquisadores de segurança de dados são raras”, disse Raymond Ku, professor de direito da Case Western Reserve University. Nas raras ocasiões em que isso acontece, disse ele, geralmente é quando se alega que o pesquisador revelou como uma falha foi ou pode ser explorada, o que permitiria que outros também aproveitassem a falha.

“Ele não era Edward Snowden”, disse Kyle Hanslovan, CEO da empresa de segurança cibernética Huntress, que se descreveu como preocupado com a resposta da cidade de Columbus e o que isso poderia significar para futuras violações. Snowden era um funcionário contratado pelo governo que vazou informações confidenciais e enfrentou acusações criminais, mas se considerava um denunciante. Goodwolf, diz Hanslovan, é um Bom Samaritano que encontrou de forma independente os dados violados.

“Neste caso, parece que acabámos de silenciar alguém que, até onde sei, parece ser um investigador de segurança que fez o mínimo necessário e confirmou que as declarações oficiais feitas não eram verdadeiras. Esta não pode ser uma decisão apropriada. uso dos tribunais”, disse Hanslovan, prevendo que o caso será rapidamente anulado.

Procurador da cidade de Columbus, Zach Klein disse durante uma conferência de imprensa em setembro que o caso “não era sobre liberdade de expressão ou denúncia. Trata-se de download e divulgação de registros de investigação criminal roubados”.

Hanslovan preocupa-se com o efeito cascata em que consultores e investigadores de segurança cibernética têm medo de fazer o seu trabalho por medo de serem processados. “A grande história aqui é que estamos vendo o surgimento de um novo manual” para respostas de hackers em que os indivíduos são silenciados, e isso não deve ser bem-vindo, disse ele. “Silenciar qualquer opinião, mesmo que por 14 dias, pode ser suficiente para impedir que algo credível venha à tona, e isso me aterroriza”, disse Hanslovan. “Essa voz precisa ser ouvida. À medida que vemos o surgimento de incidentes maiores de segurança cibernética, estou preocupado que as pessoas fiquem mais preocupadas em trazê-los à luz.”

Scott Dylan, fundador da empresa de capital de risco NexaTech Ventures, com sede no Reino Unido, também acredita que as ações da cidade de Columbus poderiam induzir um efeito inibidor no campo da segurança cibernética.

“À medida que o campo do direito cibernético continua a amadurecer, este caso provavelmente será referenciado em discussões futuras sobre o papel dos investigadores no rescaldo das violações de dados”, disse Dylan.

Ele diz que os quadros jurídicos devem evoluir para acompanhar a sofisticação dos ataques cibernéticos e dos dilemas éticos que eles geram, e a abordagem adotada por Columbus é um erro.

Enquanto isso, o processo legal continuará difícil para Goodwolf. Apesar de Columbus e Goodwolf terem chegado a um acordo na semana passada sobre a divulgação de informações, a cidade ainda o está processando por danos em uma ação civil que pode chegar a US$ 25 mil ou mais. Goodwolf está se representando em suas negociações com a cidade, mas diz que tem um advogado de prontidão, se necessário.

Alguns moradores entraram com uma ação coletiva contra a cidade. Goodwolf diz que 55% das informações violadas foram vendidas na dark web, enquanto 45% estão disponíveis para qualquer pessoa com habilidades para acessá-las.

Dylan acha que a cidade está a correr um grande risco, mesmo que as suas acções possam ser juridicamente defensáveis, ao criar a aparência de uma tentativa de silenciar o discurso em vez de encorajar a transparência. “É uma estratégia que pode sair pela culatra, tanto em termos de confiança pública como de litígios futuros”, disse ele.

“Espero que a cidade perceba o erro de abrir uma ação civil e as implicações não apenas na segurança”, disse Goodwolf, observando que a Intel está construindo uma instalação de US$ 1 bilhão em um subúrbio de Columbus. Nos últimos anos, a cidade tem-se posicionado como um novo centro tecnológico no Centro-Oeste, e atacar chapéus brancos e investigadores de segurança cibernética, disse ele, poderia fazer com que alguns no sector tecnológico a repensassem como um local.