NEW YORK - JULY 29:  Pedestrians walk by a Yahoo sign in Times Square on July 29, 2009 in New York City. Taking aim at Google?s dominance, technology companies Microsoft and Yahoo announced Wednesday that they have reached a 10 year internet search partnership.  (Photo by Spencer Platt/Getty Images)

O jornalismo destemido do Intercept só é independente graças aos milhares de leitores que fazem doações mensais. Mas perdemos centenas desses apoiadores este ano.

Nossa missão tem que continuar mesmo depois que o último voto for dado nesta eleição. Para manter nossa redação forte, precisamos de 1.000 novos doadores mensais este mês.

Você nos ajudará a revelar os segredos dos poderosos?

SEJA MEMBRO DO INTERCEPT

O jornalismo destemido do Intercept só é independente graças aos milhares de leitores que fazem doações mensais. Mas perdemos centenas desses apoiadores este ano.

Nossa missão tem que continuar mesmo depois que o último voto for dado nesta eleição. Para manter nossa redação forte, precisamos de 1.000 novos doadores mensais este mês.

Você nos ajudará a revelar os segredos dos poderosos?

SEJA MEMBRO DO INTERCEPT

Hackers podiam acessar todos os e-mails do Yahoo graças a programa de espionagem, diz ex-funcionário

Yahoo disponibilizou um backdoor mal feito que varria todos os e-mails de seus clientes e disponibilizava ao governo dos EUA

NEW YORK - JULY 29:  Pedestrians walk by a Yahoo sign in Times Square on July 29, 2009 in New York City. Taking aim at Google?s dominance, technology companies Microsoft and Yahoo announced Wednesday that they have reached a 10 year internet search partnership.  (Photo by Spencer Platt/Getty Images)

Ao contrário do que dizem a declaração do Yahoo e a reportagem do New York Times, o programa de varredura da empresa, revelado pela Reuters no começo da semana, disponibilizava um backdoor personalizado para o serviço de e-mail da empresa, instalado de forma tão negligente que representava um risco à privacidade de milhões de usuários, de acordo com um ex-funcionário do Yahoo com conhecimento das práticas de segurança da empresa.

Embora haja diferentes versões circulando, não há divergências quanto aos seguintes pontos: Em 2015, o Yahoo disponibilizou ao governo dos EUA os meios necessários para varrer todo e qualquer e-mail que chegasse a todas as caixas de entrada do Yahoo Mail. A varredura foi mantida em sigilo absoluto — e de acordo com o testemunho de nossa fonte que trabalhava no Yahoo, nem mesmo os funcionários da equipe de segurança foram informados e, hoje, acreditam ter colocado em risco centenas de milhões de clientes desavisados.

O ex-funcionário, que trabalhou no Yahoo antes, durante e depois da instalação do programa de varredura de e-mails, pediu para não ter sua identidade revelada por conta de um acordo de confidencialidade assinado ao deixar a empresa, meses depois do programa ter sido descoberto internamente, há pouco mais de um ano. Nossa fonte se recusou a compartilhar certos nomes específicos por medo de violar seu acordo de confidencialidade e o de seus colegas, mas o The Intercept conseguiu confirmar as informações empregatícias da fonte no Yahoo, o que colocaria o ex-funcionário em condições de ter acesso a informações relevantes.

Os repórteres Charlie Savage e Nicole Perlroth, em artigo publicado no New York Times um dia depois da reportagem da Reuters, que menciona “dois agentes do governo que falaram de forma anônima”, descreveram a varredura de e-mails no Yahoo como uma simples modificação na técnica de varredura existente, implementada para detectar malware e pornografia infantil — algo comum em diversos outros serviços de e-mail e mensagens —, e não como uma ferramenta nova, desenvolvida especificamente para atender ao pedido de vigilância do governo. De acordo com a reportagem do NYT, o Yahoo simplesmente fez com que a varredura de pornografia e vírus investigasse apenas mais um detalhe (um tipo de “assinatura” relativa a um grupo terrorista ligado a um governo não identificado) durante o processo normal, em vez de ter desenvolvido uma varredura completamente nova, ou seja, a diferença existente entre um simples item acrescentado à sua lista de compras e uma outra visita ao supermercado. Ambas são varreduras em massa indiscriminadas com graves implicações em relação à Quarta Emenda da Constituição dos EUA (proteção contra buscas e apreensões arbitrárias), mas há distinções importantes a serem estabelecidas: De acordo com o ex-funcionário do Yahoo, uma simples “modificação dos filtros de e-mail [existentes] não teria levantado nossa suspeita… [a equipe de segurança] não teria conseguido detectá-la”. Muito pelo contrário, a equipe de segurança da empresa detectou “algo inédito, como se fosse algo que um hacker instalaria”. O que a equipe acreditou “ser, ou parecer, um rootkit”, um tipo de software instalado para permitir que terceiros tenham controle completo sobre um sistema de computadores sem serem detectados. Nesse caso, de acordo com nossa fonte que trabalhava no Yahoo, se tratava de um “programa sendo executado nos servidores que tinha acesso aos dados recebidos”.

Alex Stamos, o Ex-chefe de Segurança de Informações do Yahoo que, de acordo com a reportagem da Reuters, deixou a empresa após saber da cooperação com a ordem de varredura do governo dos EUA, parece ter se incomodado com a forma precária com que o mecanismo de varredura foi instalado. “Ele ficou especialmente ofendido por não ter sido comunicado da decisão”, contou o ex-funcionário do Yahoo. “O programa instalado para interceptação foi implementado de um jeito negligente, de forma que, se um hacker externo assumisse o controle dele, poderia ter lido basicamente os e-mail do Yahoo de todo mundo”, algo que nossa fonte atribui ao “fato de [o programa] ter sido instalado sem nenhuma revisão de segurança”.

A descoberta foi um choque para as pessoas que trabalham integralmente com a prevenção de algo desse gênero e, portanto, tomaram as mesmas medidas que tomariam em qualquer outro caso de descoberta de uma vulnerabilidade: registraram uma reclamação para que o problema fosse investigado e corrigido. A fonte do The Intercept explicou que “o protocolo padrão [a ser seguido pela] equipe de segurança é abrir um [caso de] problema de segurança e atribuí-lo à equipe responsável pelo componente, neste caso a [equipe] Mail, dizendo que isso precisa ser consertado dentro de 24-48 horas”, devido à gravidade do problema. “Naquele momento, [a equipe do Yahoo Mail] teria que ter explicado [a eles] por que não tinham consertado o problema, que ocorreu porque foi instalado por eles.” Mas nossa fonte contou que, após a equipe de segurança ter levantado suspeitas quanto a varredura de e-mail, ainda acreditando ter sido o trabalho de um hacker externo, e não de seus colegas, a reclamação desapareceu dos registros do Yahoo de forma repentina. “Eu procurei o caso e não consegui encontrá-lo”, contou o ex-funcionário da empresa. “Presumo que tenha sido apagado.”

Meses depois da instalação do programa, a equipe de segurança do Yahoo foi informada da verdade sobre o projeto de varredura. Porém, eles não podiam mais alterá-lo àquela altura — o que deixou alguns membros da equipe insatisfeitos. “Isso foi detectado a tempo de podermos aprimorar as coisas”, contou o ex-funcionário. “Eu fiquei muito chateado.”

Você sabia que...

O Intercept é quase inteiramente movido por seus leitores?

E quase todo esse financiamento vem de doadores mensais?

Isso nos torna completamente diferentes de todas as outras redações que você conhece. O apoio de pessoas como você nos dá a independência de que precisamos para investigar qualquer pessoa, em qualquer lugar, sem medo e sem rabo preso.

E o resultado? Centenas de investigações importantes que mudam a sociedade e as leis e impedem que abusadores poderosos continuem impunes. Impacto que chama!

O Intercept é pequeno, mas poderoso. No entanto, o número de apoiadores mensais caiu 15% este ano e isso está ameaçando nossa capacidade de fazer o trabalho importante que você espera – como o que você acabou de ler.

Precisamos de 1.000 novos doadores mensais até o final do mês para manter nossa operação sustentável.

Podemos contar com você por R$ 20 por mês?

APOIE O INTERCEPT

Conteúdo relacionado

Inscreva-se na newsletter para continuar lendo. É grátis!

Este não é um acesso pago e a adesão é gratuita

Já se inscreveu? Confirme seu endereço de e-mail para continuar lendo

Você possui 1 artigo para ler sem se cadastrar