Segurança da imprensa em risco: dados pessoais de jornalistas dos EUA divulgados na dark web

Os jornalistas sempre estiveram na mira. Investigam os poderosos, protegem fontes confidenciais e publicam verdades desconfortáveis. Hoje, as ameaças que enfrentam estão a evoluir, com a pressão política e a vigilância a virem não só de regimes autoritários, mas também de democracias liberais em retrocesso. Os agentes maliciosos podem utilizar pirataria informática e incidentes de segurança de dados para perturbar as suas operações, retaliar contra denunciantes e, em última análise, comprometer a sua independência editorial.

Para compreender melhor os riscos que a comunicação social enfrenta hoje em dia, a Proton analisou mercados da dark web onde piratas informáticos negoceiam bases de dados roubadas para perceber a exposição das empresas de comunicação social a vulnerabilidades digitais. Escolhemos três dos maiores nomes da comunicação social dos EUA — The New York Times, The Washington Post e The Wall Street Journal — e pesquisámos fugas de informação associadas a essas organizações e aos seus funcionários.

A nossa investigação revelou mais de 116 000 exposições na dark web associadas a endereços de e-mail do The New York Times, The Washington Post e The Wall Street Journal. O volume de dados expostos que descobrimos — frequentemente resultantes de fugas de várias fontes — coloca estas empresas em sério risco de ciberataques direcionados, chantagem ou engenharia social.

As fugas incluem mais de 12 000 palavras-passe em texto simples e mais de 61 000 elementos de informações de identificação pessoal, revelando a vasta escala de riscos de cibersegurança enfrentados pelos jornalistas e pelas suas fontes.

Os meios de comunicação social não são os únicos em risco. Uma investigação anterior da Proton detetou milhares de e-mails e palavras-passe de políticos expostos na dark web, o que representa não só vulnerabilidades de privacidade pessoal, mas também potenciais ameaças à segurança nacional.

É importante notar que estas fugas não são prova de que o The New York Times, o The Washington Post ou o The Wall Street Journal tenham sofrido qualquer tipo de ciberataque. As fugas provêm tipicamente de fontes de terceiros, tais como retalhistas ou fornecedores de software, que sofreram incidentes de segurança de dados que expuseram os dados dos seus clientes. Mas a existência destas fugas abre caminho para que as empresas de comunicação social fiquem vulneráveis a ataques direcionados, incidentes, chantagem e engenharia social.

A escala das fugas de dados na comunicação social dos EUA

A equipa de investigação da Proton, em colaboração com a Constella Intelligence(nova janela), identificou mais de 116 000 exposições na dark web ligadas a mais de 35 000 endereços de e-mail individuais, incluindo as contas profissionais e pessoais dos funcionários, formulários de contacto e caixas de correio de equipas.

Em conformidade com os princípios de divulgação responsável, já informámos cada uma das publicações, fornecendo-lhes detalhes das nossas descobertas e tempo para tomarem as medidas adequadas.

Uma quantidade tão grande de informação de apenas três empresas de comunicação social ilustra a escala potencialmente enorme de incidentes de segurança de dados no setor dos media.

Como é que isto acontece?

Os repórteres e as suas organizações não têm culpa neste caso. É um problema estrutural que afeta todas as pessoas que utilizam a internet, incluindo a si.

Sempre que alguém utiliza o seu nome, endereço de e-mail ou data de nascimento para se registar num serviço de terceiros, como o LinkedIn, a Adobe ou a Dropbox, confia algumas das suas informações pessoais a essa empresa. Quando essas plataformas de terceiros sofrem incidentes de segurança (e estes incidentes acontecem constantemente), as credenciais e os dados pessoais de todos os que se registaram podem acabar na dark web. Em muitos casos, estas fugas também incluem palavras-passe e, se a vítima reutilizar a mesma palavra-passe em vários locais, cria riscos de cibersegurança muito mais amplos. Publicamos descobertas gerais regularmente no nosso Data Breach Observatory.

Na Proton, desenvolvemos ferramentas especificamente para ajudar as pessoas a identificar e a mitigar os efeitos de incidentes de segurança de dados. O Pass Monitor está incluído no Proton Pass, e as empresas que utilizam o nosso gestor de palavras-passe empresarial ou o nosso conjunto mais amplo de ferramentas empresariais beneficiam de defesas robustas de segurança de conta.

Ameaça à liberdade de imprensa nos EUA

Em partes do mundo onde a liberdade de imprensa está mais gravemente ameaçada — como na China, no Irão ou na Arábia Saudita —, os ataques aos jornalistas raramente se ficam pela pressão política. Estendem-se à vigilância, à engenharia social, à chantagem e à intimidação. Credenciais comprometidas são tanto uma ferramenta de controlo autoritário como do cibercrime convencional.

Os Estados Unidos não estão isentos desta dinâmica, ocupando o 64.º lugar no World Press Freedom Index(nova janela). Os jornalistas americanos enfrentam uma pressão jurídica e política crescente, e os riscos de segurança que enfrentam não são puramente hipotéticos. Palavras-passe expostas em fugas de informação abrem portas a contas de e-mail, sistemas internos e plataformas de comunicação onde a identidade das fontes pode ser exposta. As PII criam oportunidades para chantagem ou campanhas de assédio direcionadas, concebidas para silenciar ou desacreditar os repórteres.

Mais de 2500 endereços de e-mail no nosso conjunto de dados foram expostos dez ou mais vezes — o que significa que alguns indivíduos estão persistentemente vulneráveis, com as suas informações a circular repetidamente nos mercados e fóruns da dark web.

O que as pessoas e as organizações podem fazer para se manterem seguras

As exposições que identificámos são a consequência indireta de incidentes de segurança de terceiros — fora do controlo de qualquer jornalista ou redação individual. No entanto, existem medidas significativas que as organizações e as pessoas podem tomar para reduzir a sua exposição e limitar os danos quando ocorrem incidentes de segurança.

Para as organizações:

• Realize uma monitorização da dark web regular para identificar credenciais expostas antes que sejam exploradas
• Implemente políticas fortes em torno do uso de endereços de e-mail profissionais para registos em serviços externos
• Centralize a gestão de contas através de um único gestor de palavras-passe empresarial e gira o acesso à rede com IPs dedicados
• Forneça formação de segurança que reflita o modelo de ameaça específico que os jornalistas enfrentam — o qual difere do risco empresarial padrão

Para indivíduos:

• Utilize palavras-passe fortes e exclusivas para cada conta
• Utilize aliases de e-mail ao registar-se em serviços de terceiros, para que um incidente de segurança num serviço não exponha o seu endereço principal de forma generalizada
• Ative a autenticação de dois fatores sempre que possível
• Trate o seu endereço de e-mail profissional como uma infraestrutura sensível — porque o é

A dark web não discrimina. Qualquer pessoa cujos dados passem por um serviço que tenha sofrido um incidente de segurança pode acabar por ficar exposta. Uma boa higiene de conta é a primeira e mais importante linha de defesa — e as ferramentas para a praticar nunca foram tão acessíveis.

Se a sua organização de comunicação social pretender saber mais sobre as soluções de segurança da Proton, conheça os nossos descontos para organizações de notícias.