0
0
Demorou apenas alguns segundos para descobrir toda a vida do alvo.
No aplicativo de mensagens Telegram, digitei uma pequena quantidade de informações sobre meu alvo na caixa de texto azul escuro – o nome e o estado em que acreditava que ele morava – e pressionei Enter. Pouco tempo depois, o bot cuspiu um arquivo contendo todos os endereços em que aquela pessoa já morou nos EUA, desde o dormitório da faculdade, mais de uma década antes. O arquivo incluía os nomes e anos de nascimento de seus parentes. Ele listou os números de telefone celular e a operadora do alvo, bem como endereços de e-mail pessoais. Por fim, o arquivo continha informações da carteira de motorista, incluindo seu número de identificação único. Todos esses dados custam US$ 15 em Bitcoin. O bot às vezes também oferece o número do Seguro Social por US$ 20.
Este é o resultado de uma arma secreta que os criminosos vendem acesso online e que parece explorar um conjunto de dados especialmente poderoso: o cabeçalho de crédito do alvo. Estas são informações pessoais que as agências de crédito Experian, Equifax e TransUnion possuem sobre a maioria dos adultos na América por meio de seus cartões de crédito. Através de uma complexa rede de acordos e compras, esses dados passam das agências de crédito para outras empresas que os oferecem a cobradores de dívidas, companhias de seguros e autoridades policiais.
Uma investigação da 404 Media descobriu que os criminosos conseguiram aceder a essa cadeia de fornecimento de dados, em alguns casos roubando identidades de antigos agentes da lei, e estão a vender acesso irrestrito aos seus coortes criminosos online. A ferramenta testada pela 404 Media também foi usada para coletar informações sobre alvos de alto perfil, como Elon Musk, Joe Rogan e até mesmo o presidente Joe Biden, aparentemente sem restrições. A 404 Media verificou que, embora nem sempre sejam sensíveis, pelo menos alguns desses dados são precisos.
As comunidades onde esta ferramenta é anunciada incluem salas de chat focadas em golpes, onde criminosos fazem chamadas falsas que resultam numa resposta policial fortemente armada para um local específico; Troca de SIM, na qual hackers assumem o número de telefone da vítima para receber códigos de login e invadir suas contas online; e violência física, onde os criminosos contratam uns aos outros para roubar, atirar ou atacar seus inimigos e vandalizar a casa do alvo. No geral, a ferramenta oferece um poder excepcional e requer pouca ou nenhuma sofisticação técnica para obter os dados confidenciais da vítima. Pior ainda, é extremamente difícil para um utilizador optar pela exclusão, e estes dados podem estar disponíveis mesmo para pessoas que tenham sido cuidadosas na distribuição das suas informações pessoais e que tenham tomado medidas para que os seus dados sejam apagados de outros corretores de dados.
O senador Ron Wyden disse à 404 Media em comunicado que “Essas empresas demonstraram que não podem controlar quem tem acesso aos seus produtos de dados. O governo precisa impedir que estas empresas empacotem e vendam as nossas informações pessoais, e os altos executivos que colocam o lucro acima da segurança nacional e da segurança dos americanos devem ser punidos em conformidade.”
A cadeia de suprimentos
Oitenta e dois por cento dos adultos americanos tinham cartão de crédito em 2022, segundo dados do Federal Reserve . Sempre que alguém solicita um cartão de crédito, sua instituição financeira transfere dados pessoais do cliente para as três grandes agências de crédito, Experian, Equifax e TransUnion. Em parte, isso ocorre para que as agências possam rastrear a pontuação de crédito do usuário. Ou seja, a maior parte da população adulta, pelo simples fato de como funcionam os cartões de crédito, terá suas informações pessoais coletadas e armazenadas por essas agências.
As agências também desempenham um papel importante na prevenção da fraude, retendo as informações pessoais mais sensíveis das pessoas e utilizando-as para verificar as suas identidades. Mas, anos atrás, as agências perceberam que tinham um recurso de dados muito valioso e diversificaram o que faziam com essas informações, disse John Gilmore, chefe de pesquisa da DeleteMe, uma empresa que ajuda a limpar os dados das pessoas na Internet.
As agências disponibilizaram alguns dos dados fornecidos pelos consumidores – conhecidos como informações de cabeçalho de crédito – para outras empresas. A FTC define as informações do cabeçalho de crédito como a parte do relatório de crédito de um consumidor que geralmente contém o nome da pessoa, data de nascimento, endereço atual e anterior, número do Seguro Social e número de telefone. Essencialmente, pode incluir tudo no relatório de crédito de uma pessoa acima dos detalhes de quem ela pediu dinheiro emprestado – a parte superior ou o cabeçalho do documento.
Embora os próprios relatórios de crédito sejam limitados a certos usos, como pedidos de crédito sob o Fair Credit Reporting Act (FCRA), agências de crédito e corretores de dados geralmente acreditam que o cabeçalho de crédito se enquadra em uma legislação diferente: o Gramm-Leach-Bliley Act (GLBA ). Essa lei dá às agências de crédito espaço para vender informações de cabeçalho de crédito a terceiros em um conjunto de casos de uso que são muito mais amplos do que o relatório de crédito completo. Os exemplos incluem proteção contra fraude ou o termo vago “deter um interesse legal ou benéfico relacionado ao consumidor”.
Em fevereiro, um grupo de ativistas e organizações legais, incluindo o Centro de Privacidade e Tecnologia da Georgetown Law, o Electronic Privacy Information Center (EPIC) e a Just Futures Law, escreveram ao Consumer Financial Protection Bureau (CFPB) sobre essa questão legislativa em torno dados de cabeçalho de crédito.
Essa carta diz que a posição das agências sobre os dados do cabeçalho de crédito vem de uma leitura específica de um relatório de 2011 escrito pela FTC, que as agências interpretam como significando que não precisam tratar os dados do cabeçalho de crédito com as mesmas proteções que um crédito completo. relatório. “Esta interpretação do relatório da FTC é errônea”, escreveu o grupo de organizações.
As empresas terceirizadas que compram ou recebem as informações do cabeçalho de crédito, por sua vez, muitas vezes revendem ou fornecem acesso a elas mediante o pagamento de uma taxa para investigadores particulares, investidores imobiliários e outros setores. Uma empresa chamada AlumniFinder, por exemplo, vende dados GLBA para que as instituições de ensino possam “alcançar e envolver ex-alunos perdidos”, de acordo com o seu website. A Immigration and Customs Enforcement utilizou dados semelhantes que fluíram de empresas de serviços públicos para a Equifax, que depois foram vendidos a corretores de dados. E em Março, o FBI e o Centro Nacional de Contrainteligência e Segurança alertaram que entidades de inteligência estrangeiras que trabalham para regimes repressivos procuraram acesso a investigadores privados, em parte para obter informações pessoais sobre alvos nos EUA.
Em algum momento desse fluxo de dados, os criminosos encontraram uma maneira de entrar.
“TLO, a vadia”
A 404 Media acessou cerca de 10 grupos do Telegram onde os membros discutem e anunciam bots que oferecem dados de identificação pessoal para venda. Os preços oscilam entre cerca de US$ 15 e US$ 40, dependendo do tipo de dados que o cliente deseja comprar e conforme a disponibilidade diminui e diminui. Uma pessoa disse a um grupo que sua ferramenta encontra alguém.
A 404 Media viu criminosos usando os bots especificamente para doxar pessoas, o que significa publicar suas informações pessoais online. Em várias instâncias, informações pessoais com os mesmos tipos de dados que o bot 404 Media usado foram carregadas em um site popular entre cibercriminosos e assediadores para preservar o dox das vítimas. Os membros indicaram em seus bate-papos e dox compartilhados que estão visando YouTubers e pessoas aparentemente comuns, bem como celebridades e políticos de alto nível.
Alguns desses dox gerados por bots foram enviados por usuários que lidam especificamente com violência física. Estes incluem grupos cujos membros oferecem serviços por um preço como tiroteio em uma casa, assaltos à mão armada, esfaqueamentos e agressões. O submundo do crime cibernético viu um aumento dramático na violência e no assédio nos últimos anos, com vizinhos inocentes às vezes envolvidos em brigas online que se tornaram físicas. Nesses grupos de violência como serviço, alguns membros pedem ou oferecem explicitamente este tipo de dados.
O corretor de dados exato que os criminosos usavam para obter dados parece ter mudado com o tempo. Em janeiro, denunciei que criminosos estavam anunciando o acesso a uma ferramenta chamada TLOxp, de propriedade da TransUnion. Essa relação direta com a TransUnion torna o TLOxp uma ferramenta especialmente poderosa. Num dos poucos casos bem documentados de abuso do TLOxp, em 2018 a Forbes cobriu como uma equipa de rap amadora usou o TLOxp como parte de uma onda de fraudes de um milhão de dólares.
Mensagens mais recentes do Telegram sugerem que a nova onda de acesso de criminosos cibernéticos ao TLOxp durou pouco, antes de passarem para outros provedores. Mas, a julgar pela volumosa conversa que o menciona, o TLOxp é o banco de dados que capturou o zeitgeist cultural do submundo do crime. Falar de TLOxp agora é tão comum que as pessoas geralmente o usam para significar uma poderosa ferramenta de pesquisa. Eles também usam o nome da ferramenta como um verbo.
“Eu deveria TLO a cadela hein”, diz uma mensagem.
“Divirta-se comigo”, diz outro.
“TLO ela”, diz um terceiro.
A TransUnion está ciente do reconhecimento de sua marca no submundo do crime. Em um comunicado, a TransUnion disse que “às vezes, os fraudadores extraem dados de outras fontes e os deturpam como dados TLOxp”. A empresa acrescentou que implementa várias salvaguardas e proteções para garantir que seus dados sejam usados apenas conforme permitido legalmente, mas que partes não autorizadas reconhecidas às vezes obtêm acesso.
“Nas raras ocasiões em que confirmamos o uso indevido do TLOxp, coordenamos com as autoridades policiais para ajudar a processar os responsáveis”, acrescentou TransUnion.
Além do TLO, os criminosos mencionaram várias empresas diferentes nos grupos do Telegram que afirmam usar: Data-Trac, SearchBug e USinfoSearch entre elas.
O Data-Trac disse à 404 Media que alguém obteve acesso à sua ferramenta roubando a identidade de um ex-policial e investigador particular na Flórida. O criminoso então abriu uma conta com essas credenciais, que incluíam a carteira de motorista. A Data-Trac disse que está trabalhando com a polícia em um caso ativo sobre o incidente.
Normalmente, os corretores de dados verificam quem é um cliente investigador particular realizando uma visita local ao escritório do cliente. Eles verificarão se o investigador particular tem um arquivo trancado e uma trituradora para lidar adequadamente com os registros. A Data-Trac, no entanto, disse que no momento em que o criminoso obteve acesso, a empresa realizou apenas “confirmação remota”, na qual o solicitante é solicitado a fornecer várias peças de verificação de identidade e segurança virtualmente, em vez de pessoalmente.
Noah Wieder, CEO da SearchBug, confirmou que sua ferramenta foi usada para pesquisar cerca de meia dúzia de nomes que a 404 Media identificou como alvos de criminosos. Entre eles estavam Elon Musk, Joe Rogan, o presidente Biden, bem como alguns rappers e outros que não parecem ser celebridades. O Spotify, que hospeda o podcast de Rogan, não respondeu a um pedido de comentário. X, o site anteriormente conhecido como Twitter e de propriedade de Musk, também não respondeu. Um porta-voz do Conselho de Segurança Nacional recusou-se a comentar quando questionado sobre a ferramenta utilizada contra o Presidente Biden e, em vez disso, dirigiu o pedido ao CFPB.
Wieder disse que não sabia se o próprio provedor de dados do SearchBug forneceu especificamente dados de cabeçalho de crédito, mas disse que era responsabilidade do fornecedor de dados bloquear solicitações de pesquisas sobre indivíduos de alto perfil, como celebridades e políticos.
Em resposta às descobertas da 404 Media, Wieder disse que o SearchBug agora executará esses bloqueios por conta própria. No mesmo dia em que Wieder disse que o SearchBug introduziria esses limites, um vendedor de bot disse no Telegram que seu bot agora enfrentaria restrições; mais tarde, eles disseram a seus clientes para não procurarem celebridades ou funcionários públicos.
Enquanto isso, o USinfoSearch disse que sua ferramenta não foi usada para pesquisar nenhum dos nomes visados pelos criminosos, mas conversas criminosas mostram um alto nível de interesse na empresa. Scott Hostettler, gerente geral do USinfoSearch, disse à 404 Media por e-mail que “a segurança e a proteção de nossos bancos de dados e informações licenciadas estão no topo de nossas prioridades e nossos sistemas são monitorados continuamente”.
“Entendemos a importância de proteger informações confidenciais e manter a confiança de nossos usuários é nossa principal prioridade. Qualquer alegação de que fornecemos dados a criminosos está em oposição direta aos nossos princípios fundamentais e às medidas de proteção que estabelecemos e monitoramos continuamente para evitar qualquer divulgação não autorizada”, acrescentou.
Outras empresas mencionadas pelos criminosos, incluindo a Microbilt e outra chamada LocatePlus, não responderam aos pedidos de comentários. Em 2019, relatei que a Microbilt fazia parte de uma cadeia de fornecimento de dados de localização de telecomunicações que fez com que os caçadores de recompensas conseguissem identificar instantaneamente a maioria dos telefones dentro dos EUA.
Independentemente disso, Julie Mao, cofundadora e vice-diretora da Just Futures Law, que fez campanha contra o uso de dados semelhantes pelo ICE , disse que “é provável que pelo menos alguns desses dados (e não ficaria surpreso se fossem quase todos) sejam informações de cabeçalho de crédito” depois de revisar uma amostra dos dados gerados pelo bot testado.
A quase impossibilidade de remoção
Nos próprios testes da 404 Media, embora o DeleteMe seja uma ferramenta útil para remover informações pessoais de uma infinidade de sites de busca de pessoas, no momento em que este artigo foi escrito, ele não parecia cobrir os sites que esses criminosos estão usando, nem impediu o Telegram testado. bot obtenha acesso a informações que, de outra forma, não estariam facilmente disponíveis.
Gilmore, da DeleteMe, disse que a empresa está constantemente adicionando novos serviços para rastrear, e alguns são mais responsivos do que outros. Esse jogo de bater uma toupeira apresenta outra questão mais fundamental. Reduzir a disseminação de informações de cabeçalho de crédito persistirá até que seja interrompido na fonte: as agências de crédito.
Mas para o consumidor comum, pode ser muito difícil fazer com que os bureaus de crédito parem de vender seus dados a terceiros e talvez impossível que eles os excluam totalmente, devido ao seu papel contínuo no combate à fraude.
“Eles não vão removê-lo de seus conjuntos de dados, mas não vão vendê-lo em certas condições”, disse Gilmore. As agências tornam o processo muito oneroso, acrescentou Gilmore. “Eles nunca limpam os dados do cabeçalho, porque isso é necessário para verificações de fraude.”
É claro que, mesmo que uma pessoa consiga fazer com que as agências parem de distribuir seus dados, se um terceiro já obteve uma cópia, esses dados ainda podem encontrar uma saída. E então é muito difícil para alguém saber qual da avalanche de empresas vendeu ou forneceu seus dados para outras também.
Os defensores da privacidade e da justiça acham que a solução é obstruir o fluxo de dados de cabeçalho de crédito nas agências. “Acreditamos realmente que o problema real e fundamental é que esta informação está a ser comprada e vendida”, disse Mao. “Quando os consumidores não podem optar por não participar ou organizar-se para ter uma opção real para proteger a privacidade, esse é precisamente o papel dos órgãos governamentais.
“É precisamente por isso que a regulamentação é fundamental”, acrescentou ela.
“Isso absolutamente não deveria ser permitido”, disse Rob Shavell, CEO da DeleteMe, sobre as agências de crédito que fornecem dados de cabeçalho de crédito para setores mais amplos. De todas as entidades que estão na origem destes dados, “as agências de crédito são as número um”, acrescentou Shavell. “Eles são os que deveriam estar sujeitos ao cumprimento mais estrito e, em última análise, obedecer a um padrão de privacidade mais elevado por parte do governo federal e dos governos estaduais do que estão sendo”, disse ele.
“As agências de crédito são as número um.”
Em março, o CFPB publicou um pedido de informações sobre corretores de dados, onde as organizações podem comunicar as suas preocupações sobre o comércio de dados. Na semana passada, o CFPB anunciou que estava propondo novas regras que mudariam a regulamentação dos dados do cabeçalho de crédito. De acordo com essas propostas, os corretores não poderiam vender esses dados para publicidade direcionada, treinamento de IA ou para perpetradores de violência doméstica, de acordo com uma visão geral da regra proposta fornecida pelo CFPB. Os corretores ainda poderiam vender dados de cabeçalho de crédito para outros fins, como seguros e subscrição de crédito, e aplicações de emprego e benefícios governamentais.
Diante disso, essas mudanças de regras propostas podem não restringir o acesso criminoso ou o abuso descoberto pela 404 Media. Quando questionado sobre o comentário do CFPB sobre criminosos que praticam violência física obtendo dados de cabeçalho de crédito, o CFPB compartilhou uma citação do diretor da agência, Rohit Chopra, que novamente abordou a inteligência artificial e não o tipo de abuso criminoso dos dados relatados pela 404 Media.
“Os relatórios sobre a monetização de informações sensíveis – tudo, desde os detalhes financeiros de membros das forças armadas dos EUA até listas de pessoas específicas que sofrem de demência – são particularmente preocupantes quando os dados alimentam a “inteligência artificial” e outras tomadas de decisão automatizadas sobre as nossas vidas. O CFPB tomará medidas para garantir que os corretores de dados modernos na indústria de vigilância saibam que não podem envolver-se na recolha e partilha ilegal dos nossos dados”, afirmou o comunicado.
O anúncio do CFPB não fez nenhuma menção explícita à venda de dados de cabeçalho de crédito para investigadores particulares, que é como os criminosos conseguiram acessar essas informações pessoais confidenciais. Quando pressionado pela 404 Media sobre se a mudança de regra do CFPB abordaria isso, o CFPB disse que estava nos estágios iniciais do processo, mas que a venda de dados para investigadores particulares era uma preocupação.
Mao disse que se o CFPB alterar as regras para que os dados do cabeçalho de crédito façam parte de um relatório do consumidor e, portanto, vinculados pela FCRA que regula os relatórios, “isso restringiria significativamente a venda de dados do cabeçalho de crédito”. No entanto, “pode ser uma regulamentação forte ou pode ser uma regulamentação muito restrita que ainda permite a venda de dados de cabeçalho de crédito”. O “anúncio afirma essencialmente que a agência pretende abordar a venda dos dados do cabeçalho de crédito. Embora sejam ótimas notícias, não sabemos a substância do que irão propor, embora esperemos que isso realmente resolva o problema”, disse Mao.
Como parte das regras propostas, o CFPB agora está pedindo às pequenas empresas que entrem em contato com a agência e forneçam feedback. Todo o processo ainda pode demorar muito. Laura Rivera, consultora de políticas da Just Futures Law, acredita que o CFPB já tem o poder de combater a venda de dados de cabeçalho de crédito. “Queremos que a agência aja agora, e não espere por um longo processo regulatório para fechar a brecha nos dados do cabeçalho de crédito”, disse ela.
Jordan Takeyama, gerente sênior de relações públicas da Experian, disse que “examinamos minuciosamente todos os clientes e parceiros e exigimos contratualmente que eles mantenham altos níveis de compromisso com o uso responsável e a segurança dos dados e cumpram as leis”.
A Equifax não respondeu a vários pedidos de comentários.
“Agora está claro que os corretores de dados representam uma ameaça à segurança nacional dos EUA e à segurança e privacidade dos americanos”, acrescentou a declaração do senador Wyden. “Essas empresas irresponsáveis venderam de forma imprudente informações de americanos a agentes que trabalham para governos estrangeiros e permitiram que hackers acessassem e vendessem informações pessoais de americanos a qualquer pessoa com cartão de crédito.”
FONTE: 404 MEDIA