Um caso de hacking ocorrido em uma empresa terceirizada do governo federal dos EUA está se tornando um exemplo negativo de segurança da informação e revisão de pessoal. Recentemente, os irmãos gêmeos Sohaib Akhter e Muneeb Akhter, de 34 anos, foram considerados culpados por um júri federal ou se declararam culpados antecipadamente por excluir maliciosamente bancos de dados do governo federal e conduzir atividades de hacking relacionadas após serem demitidos.

De acordo com informações divulgadas pelo Departamento de Justiça dos EUA, um júri considerou recentemente Sohaib Akhter culpado de conspiração para cometer fraude informática e revenda de palavras-passe, enquanto o seu irmão Muneeb já tinha admitido participar em atos relacionados através de um acordo de confissão. O incidente ocorreu depois que a dupla foi demitida de seus empregos pela empreiteira do governo federal Opexus, que presta serviços a mais de 45 agências governamentais e hospeda informações confidenciais, incluindo dados relacionados à Lei de Liberdade de Informação (FOIA) e arquivos investigativos federais.

O caso mostra que a Opexus notificou a dupla sobre suas demissões por meio de videoconferência em fevereiro do ano passado, depois que a empresa descobriu que eles tinham condenações federais por crimes cibernéticos desde 2015, um histórico importante que não foi totalmente reconhecido durante a contratação inicial. Embora a empresa alegasse ter realizado “extensas verificações de antecedentes” dos dois homens, aparentemente não conseguiu investigar seus registros anteriores de hackers, e essa omissão abriu caminho para ataques internos graves subsequentes.

Minutos depois de receberem o recibo rosa, os irmãos começaram a visar dados corporativos e governamentais. A investigação revelou que em apenas algumas horas, Muneeb excluiu aproximadamente 96 bancos de dados contendo dados de solicitações FOIA e documentos relacionados a investigações federais. Ao mesmo tempo, ele também bloqueou outras contas de usuários, impedindo o acesso normal ao sistema.

Ainda mais embaraçoso é que a Opexus apenas cortou o acesso ao sistema de Sohaib a tempo durante o processo de encerramento, mas “esqueceu” de fazer o mesmo com a conta de Muneeb. Seis minutos depois de ter sido notificado da sua demissão, Muneeb começou a bloquear outros utilizadores e a eliminar bases de dados, antes de roubar 1.805 documentos adicionais da Comissão de Igualdade de Oportunidades de Emprego (EEOC) e informações fiscais federais de mais de 450 pessoas.

Quando os investigadores reconstruíram o incidente, descobriram que o “nível técnico” dos dois irmãos não era tão sofisticado quanto o dos hackers profissionais. Depois de excluir o banco de dados, para encobrir seus rastros, Muneeb perguntou a um chatbot de IA como limpar os logs do sistema na tentativa de apagar rastros da operação. Embora o processo não divulgasse as ferramentas específicas de comunicação entre as duas partes, as agências de aplicação da lei acabaram por obter registos de texto das suas conversas, o que se tornou uma das provas importantes.

Na verdade, esta não é a primeira vez que os irmãos Akhter se envolvem num caso federal de crime cibernético. Num caso anterior, já em 2015, os dois admitiram ter invadido vários sites, roubado informações de cartão de crédito e tentado vender dados pessoais na dark web. Na época, Sohaib também foi acusado de conspirar com seu irmão e outras pessoas para roubar informações pessoais de colegas e instalar secretamente dispositivos de hardware para monitorar sistemas governamentais ao longo do tempo, enquanto servia no Departamento de Estado dos EUA.

A Opexus admitiu após o incidente que, embora a empresa tenha realizado verificações de antecedentes durante a contratação, “aparentemente não foi minuciosa o suficiente” para identificar os registros anteriores de crimes cibernéticos federais dos irmãos. Este erro, juntamente com a falha em revogar totalmente todas as permissões de conta quando disparadas, levou diretamente à exclusão e ao roubo em grande escala de dados governamentais confidenciais em poucas horas.

Em termos de procedimentos judiciais, Muneeb assinou o acordo de confissão perante o seu irmão, mas recentemente começou a requerer ao tribunal a retirada do seu apelo em cartas manuscritas enquanto estava na prisão. Na carta, ele alegou que seu advogado de defesa foi “ineficaz” e expressou sua esperança de comparecer ao tribunal para se defender. O posterior encaminhamento do caso ainda aguarda novo julgamento do tribunal.

O incidente destaca que quaisquer falhas na análise de pessoal e na gestão de contas em sistemas críticos que envolvam dados governamentais, ficheiros investigativos e privacidade dos cidadãos podem rapidamente transformar-se em graves incidentes de segurança cibernética. Para as agências governamentais que dependem de prestadores de serviços e de serviços terceirizados, como estabelecer mecanismos de segurança mais rigorosos e sistemáticos no recrutamento, na verificação de antecedentes, na gestão de autoridade e nos processos de demissão está a tornar-se uma questão prática inevitável.