quinta-feira, 14 de abril de 2016

Panama Papers: hacker teria obtido documentos em servidor de e-mail

Panama Papers Mossack Fonseca
via G1

O vazamento de 11,5 milhões de documentos do escritório de advocacia panamenho Mossack Fonseca, conhecido como "Panama Papers", ocorreu, segundo a própria empresa, por causa de um ataque hacker em seu servidor de e-mail. O responsável teria obtido acesso aos e-mails dos colaboradores do escritório e copiado os documentos, que somam 2,6 terabytes de dados. A informação foi publicada pelo site "El Español", mas uma reportagem da Reuters já havia citado uma declaração da empresa afirmando que os dados vieram de um ataque de hackers.

A investigação dos documentos ainda está em curso. O escritório se especializa na criação de empresas "offshore" para reter ativos e investimentos em paraísos fiscais e há suspeita de que muitos dos clientes revelados podem ter sonegado impostos ou ocultado patrimônio. A lição deste caso na segurança, porém, fica para os advogados. Quem já percebeu isso foi o especialista em segurança Ryan Lackey, que trabalha para a empresa de segurança e distribuição de conteúdo web CloudFlare. Lackey disse em seu Twitter pessoal que muitos escritórios de advocacia adotam práticas de segurança precárias porque os advogados podem contar com o que ele chama de "pó mágico" -- a ideia de que qualquer informação obtida de um escritório de advocacia não tem valor como prova em processos legais.

Graças a essa imunidade dos advogados, a preocupação com questões de segurança acaba sendo menor do que o esperado para empresas que lidam com tantas informações sigilosas. Uma amostra do "pó mágico" a que Lackey se refere pode muitas vezes ser vista nos avisos incluídos em e-mails corporativos - a pedido de departamentos jurídicos - para que a mensagem seja "imediatamente apagada" caso "você não seja o destinatário pretendido". A ideia é resguardar a informação confidencial de uma empresa depois que ela já caiu na mão de quem não devia.

Na prática, esse tipo de aviso não protege uma empresa contra o embaraço público, como esse que está ocorrendo agora com as pessoas expostas pelo "Panama Papers". É preciso, quando possível (e normalmente é possível) adotar medidas de segurança com eficácia técnica, como a criptografia em e-mail -- medidas que não dependem da boa vontade de quem se vê com informação privilegiada em mãos, por acidente ou não. De fato, se os colaboradores da Mossack Fonseca tivessem adotado criptografia em suas mensagens, os documentos não ficariam expostos diretamente no servidor de e-mail e a obtenção dos dados seria bastante dificultada.

Agora, porém, a empresa se vê no centro de um furacão que envolve uma das maiores investigações do jornalismo internacional com base em um dos maiores vazamentos da história que, por sua vez, aparentemente veio a público pela ação de um ativista hacker. Esse pó mágico já não vai ficar acomodado debaixo do tapete.

Nenhum comentário:

Postar um comentário