Algumas das maiores empresas de tecnologia, como a Apple, a Alphabet (dona da Google) ou a Meta, foram enganadas por burlões, que se fizeram passar por forças da autoridade, para obterem milhares de dados pessoais, utilizados posteriormente para extorquir e assediar mulheres e menores de idade, avança a “Bloomberg”.
A tática é considerada pelas autoridades como a mais recente ferramenta criminal para obter informações de identificação pessoal que podem ser utilizadas não apenas para ganhos financeiros, mas também para extorquir e assediar vítimas inocentes.
As tecnológicas afetadas forneceram informações pessoais confidenciais sobre os seus clientes/utilizadores, em resposta a solicitações legais fraudulentas. Ao receberem os dados, os burlões assediaram e extorquiram sexualmente menores, de acordo com quatro policias federais e dois investigadores do sector, citados pela “Bloomberg”.
As empresas que atenderam aos pedidos falsos incluem a Meta, Apple, Google, Snap, Twitter e Discord.
Os dados obtidos de forma fraudulenta foram utilizados para visar mulheres e menores específicos e, em alguns casos, pressioná-los a criar e partilhar material sexualmente explícito e, caso recusassem, eram ameaçados com a divulgação pública das informações recolhidas.
As tecnológicas ainda estão a avaliar o alcance total do problema. Como os pedidos aparentam ser de forças da autoridade legítimas, é difícil para as empresas saberem em que altura foram enganadas a fornecer dados de utilizadores.
No entanto, as autoridades afirmam que o método tornou-se mais prevalente e popular nos últimos meses.
“Sei que as solicitações de dados são utilizadas em emergências reais todos os dias, e é trágico que esse mecanismo esteja a ser usado para explorar sexualmente crianças”, disse Alex Stamos, ex-diretor de segurança da Facebook que trabalha agora como consultor.
“Os departamentos de polícia terão que se concentrar na prevenção de comprometimentos de contas com autenticação multifator, fazer uma melhor análise do comportamento do utilizador, e as empresas de tecnologia devem implementar uma política de confirmação, bem como forçar as autoridades a utilizarem os seus portais dedicados, onde podem detetar melhor as invasões de contas”, acrescentou Stamos.
Um porta-voz do Google revelou que, em 2021, “descobrimos uma solicitação de dados fraudulenta vinda de atores maliciosos que se faziam passar por funcionários legítimos do governo. Identificamos rapidamente um indivíduo que parecia ser o responsável e notificamos as autoridades. Estamos a trabalhar ativamente com as autoridades para detetar e impedir solicitações de dados ilegítimas”.
Os pedidos de fornecimento de dados de emergência, regra geral, não incluem uma ordem judicial assinada por um juiz. Assim, as empresas geralmente não têm obrigação legal de fornecer os respetivos dados. Contudo, é prática corrente, que as empresas aceitem entregar os dados em resposta a solicitações de “boa fé” vindas das autoridades.
