É o fim do ano. Isso significa que é hora de celebrarmos as melhores histórias de segurança cibernética que não publicamos. Desde 2023, o TechCrunch analisa as melhores histórias do ano em segurança cibernética.
Se você não conhece, a ideia é simples. Existem hoje dezenas de jornalistas que cobrem segurança cibernética na língua inglesa. Há muitas histórias sobre segurança cibernética, privacidade e vigilância publicadas todas as semanas. E muitos deles são ótimos e você deveria lê-los. Estamos aqui para recomendar os que mais gostamos, então lembre-se que é uma lista muito subjetiva e, no final das contas, incompleta.
De qualquer forma, vamos entrar no assunto. -Lorenzo Franceschi-Bicchierai.
De vez em quando surge uma história de hacker que, assim que você começa a ler, pensa que pode ser um filme ou programa de TV. Este é o caso da história muito pessoal de Shane Harris sobre sua correspondência de meses com um importante hacker iraniano.
Em 2016, o jornalista do The Atlantic fez contacto com uma pessoa que afirmava trabalhar como hacker para a inteligência do Irão, onde alegou ter trabalhado em operações importantes, como a derrubada de um drone americano e o agora infame hack contra a gigante petrolífera Saudi Aramco, onde hackers iranianos limparam os computadores da empresa. Harris estava cético, com razão, mas enquanto continuava conversando com o hacker, que eventualmente lhe revelou seu nome verdadeiro, Harris começou a acreditar nele. Quando o hacker morreu, Harris conseguiu juntar as peças da história real, que de alguma forma se revelou mais incrível do que o hacker levou Harris a acreditar.
A história emocionante também é uma ótima visão dos bastidores dos desafios que os repórteres de segurança cibernética enfrentam ao lidar com fontes que afirmam ter ótimas histórias para compartilhar.
Em janeiro, o governo do Reino Unido emitiu secretamente à Apple uma ordem judicial exigindo que a empresa construísse um backdoor para que a polícia pudesse acessar os dados do iCloud de qualquer cliente no mundo. Devido a uma ordem de silêncio mundial, foi apenas porque o The Washington Post deu a notícia que soubemos que a ordem existia, para começar. A exigência foi a primeira do género e – se for bem-sucedida – seria uma grande derrota para os gigantes da tecnologia que passaram a última década isolando-se dos dados dos seus próprios utilizadores para não serem obrigados a fornecê-los aos governos.
Posteriormente, a Apple parou de oferecer armazenamento em nuvem criptografado de ponta a ponta aos seus clientes no Reino Unido em resposta à demanda. Mas, ao dar a notícia, a ordem secreta foi lançada aos olhos do público e permitiu que tanto a Apple como os críticos examinassem os poderes de vigilância do Reino Unido de uma forma que nunca havia sido testada em público antes. A história gerou uma disputa diplomática que durou meses entre o Reino Unido e os Estados Unidos, levando Downing Street a retirar o pedido – apenas para tentar novamente vários meses depois.
Esta história era o tipo de acesso instantâneo com que alguns repórteres sonhariam, mas o editor-chefe do The Atlantic teve que se desenrolar em tempo real depois de ter sido involuntariamente adicionado a um grupo Signal de altos funcionários do governo dos EUA por um alto funcionário do governo dos EUA discutindo planos de guerra a partir dos seus telemóveis.
‘Atualmente estamos limpos no OPSEC”, disse o secretário de Defesa Pete Hegseth. Eles não estavam. Crédito da imagem: The Atlantic (captura de tela)
Ler a discussão sobre onde as forças militares dos EUA deveriam lançar bombas – e depois ver notícias de mísseis atingindo o solo do outro lado do mundo – foi a confirmação de que Jeffrey Goldberg precisava de saber que estava, como suspeitava, numa verdadeira conversa com verdadeiros funcionários da administração Trump, e tudo isto era registado e reportável.
E assim o fez, abrindo caminho para uma investigação (e crítica) de meses de duração às práticas de segurança operacional do governo, no que foi considerado o maior erro operacional do governo na história. O desenrolar da situação acabou por expor falhas de segurança envolvendo a utilização de um clone falsificado do Signal que pôs ainda mais em perigo as comunicações ostensivamente seguras do governo.
Brian Krebs é um dos repórteres de segurança cibernética mais veteranos do mercado e, durante anos, especializou-se em seguir pistas on-line que o levaram a revelar a identidade de notórios cibercriminosos. Nesse caso, Krebs conseguiu encontrar a verdadeira identidade por trás do identificador online de um hacker, Rey, que faz parte do notório grupo avançado e persistente de crimes cibernéticos de adolescentes que se autodenomina Scattered LAPSUS$ Hunters.
A busca de Krebs foi tão bem sucedida que ele conseguiu conversar com uma pessoa muito próxima do hacker — não vamos estragar o artigo inteiro aqui — e depois com o próprio hacker, que confessou seus crimes e alegou que estava tentando escapar da vida cibercriminosa.
O meio de comunicação independente 404 Media realizou um jornalismo de maior impacto este ano do que a maioria dos meios de comunicação tradicionais, com muito mais recursos. Uma das suas maiores vitórias foi expor e encerrar eficazmente um enorme sistema de vigilância de viagens aéreas, controlado por agências federais e operando à vista de todos.
A 404 Media informou que um corretor de dados pouco conhecido, criado pela indústria aérea, chamado Airlines Reporting Corporation, estava a vender acesso a cinco mil milhões de bilhetes de avião e itinerários de viagem, incluindo nomes e detalhes financeiros de americanos comuns, permitindo que agências governamentais como o ICE, o Departamento de Estado e o IRS rastreiem pessoas sem um mandado.
A ARC, de propriedade da United, American, Delta, Southwest, JetBlue e outras companhias aéreas, disse que encerraria o programa de dados sem mandado após os relatórios de meses de duração da 404 Media e a intensa pressão dos legisladores.
O assassinato do CEO da UnitedHealthcare, Brian Thompson, em dezembro de 2024, foi uma das maiores histórias do ano. Luigi Mangione, o principal suspeito do assassinato, foi logo depois preso e indiciado sob a acusação de usar uma “arma fantasma”, uma arma de fogo impressa em 3D que não tinha números de série e foi construída de forma privada sem verificação de antecedentes – na verdade, uma arma que o governo não tem ideia de que existe.
A Wired, utilizando a sua experiência anterior em reportagens sobre armamento impresso em 3D, procurou testar o quão fácil seria construir uma arma impressa em 3D, enquanto navegava no cenário legal (e ético) de retalhos. O processo de reportagem foi contado de maneira primorosa, e o vídeo que acompanha a história é excelente e arrepiante.
DOGE, ou Departamento de Eficiência Governamental, foi uma das maiores histórias do ano, quando a gangue de lacaios de Elon Musk invadiu o governo federal, destruindo protocolos de segurança e burocracia, como parte da captura em massa de dados dos cidadãos. A NPR teve algumas das melhores reportagens investigativas revelando o movimento de resistência dos trabalhadores federais que tentavam impedir o roubo dos dados mais sensíveis do governo.
Em uma história detalhando a divulgação oficial de um denunciante compartilhada com membros do Congresso, um funcionário sênior de TI do Conselho Nacional de Relações Trabalhistas disse aos legisladores que, enquanto procurava ajuda para investigar a atividade do DOGE, ele “encontrou uma carta impressa em um envelope colado em sua porta, que incluía linguagem ameaçadora, informações pessoais confidenciais e fotos aéreas dele passeando com seu cachorro, de acordo com a carta de apresentação anexada à sua divulgação oficial”.
Qualquer história que comece com um jornalista dizendo que encontrou algo que o fez “sentir vontade de cagar nas calças”, você sabe que será uma leitura divertida. Gabriel Geiger encontrou um conjunto de dados de uma misteriosa empresa de vigilância chamada First Wap, que continha registros de milhares de pessoas de todo o mundo cujas localizações de telefones foram rastreadas.
O conjunto de dados, abrangendo 2007 a 2015, permitiu a Geiger identificar dezenas de pessoas de alto perfil cujos telefones foram rastreados, incluindo uma antiga primeira-dama síria, o chefe de uma empresa militar privada, um actor de Hollywood e um inimigo do Vaticano. Esta história explorou o mundo sombrio da vigilância telefônica, explorando o Signaling System No. 7, ou SS7, um protocolo de nome obscuro, há muito conhecido por permitir rastreamento malicioso.
Golpear tem sido um problema há anos. O que começou como uma piada de mau gosto tornou-se uma ameaça real, que resultou em pelo menos uma morte. Swatting é um tipo de fraude em que alguém – geralmente um hacker – liga para os serviços de emergência e engana as autoridades para que enviem uma equipe armada da SWAT para a casa do alvo do fraudador, muitas vezes fingindo ser o próprio alvo e fingindo que estão prestes a cometer um crime violento.
Neste artigo, Andy Greenberg, da Wired, dá uma cara aos muitos personagens que fazem parte dessas histórias, como as operadoras de chamadas que têm que lidar com esse problema. E também traçou o perfil de um mata-mata prolífico, conhecido como Torswats, que durante meses atormentou os operadores e escolas em todo o país com ameaças de violência falsas – mas extremamente credíveis – bem como um hacker que se encarregou de localizar Torswats.
