.
Milhares de agentes da lei e pessoas que se candidataram a agentes da polícia na Índia tiveram as suas informações pessoais divulgadas online – incluindo impressões digitais, imagens de digitalização facial, assinaturas e detalhes de tatuagens e cicatrizes nos seus corpos. Se isso não fosse suficientemente alarmante, mais ou menos na mesma época, os cibercriminosos começaram a anunciar a venda de dados biométricos semelhantes da polícia da Índia no aplicativo de mensagens Telegram.
No mês passado, o pesquisador de segurança Jeremiah Fowler detectou arquivos confidenciais em um servidor web exposto vinculado à ThoughtGreen Technologies, uma empresa de desenvolvimento e terceirização de TI com escritórios na Índia, Austrália e EUA. Num total de quase 500 gigabytes de dados abrangendo 1,6 milhões de documentos, datados de 2021 até quando Fowler os descobriu no início de abril, havia uma mina de informações pessoais sensíveis sobre professores, trabalhadores ferroviários e agentes da lei. Certidões de nascimento, diplomas, certificados de educação e pedidos de emprego foram incluídos.
Fowler, que compartilhou suas descobertas exclusivamente com a WIRED, diz que entre as pilhas de informações, as mais preocupantes eram aquelas que pareciam ser documentos de verificação vinculados às autoridades indianas ou ao pessoal militar. Embora o servidor mal configurado tenha sido encerrado, o incidente destaca os riscos das empresas que recolhem e armazenam dados biométricos, tais como impressões digitais e imagens faciais, e como podem ser utilizados indevidamente se os dados forem acidentalmente divulgados.
“Você pode alterar seu nome, pode alterar suas informações bancárias, mas não pode alterar sua biometria real”, diz Fowler. O pesquisador, que também publicou as descobertas em nome do Website Planet, diz que esse tipo de dados pode ser usado por cibercriminosos ou fraudadores para atingir pessoas no futuro, um risco que aumenta para cargos sensíveis de aplicação da lei.
Dentro do banco de dados que Fowler examinou havia vários aplicativos móveis e arquivos de instalação. Um deles era intitulado “instalação de software facial” e uma pasta separada continha 8 GB de dados faciais. Fotografias de rostos de pessoas incluíam retângulos gerados por computador que são frequentemente usados para medir a distância entre pontos do rosto em sistemas de reconhecimento facial.
Havia 284.535 documentos rotulados como Testes de Eficiência Física relacionados ao pessoal policial, diz Fowler. Outros arquivos incluíam formulários de candidatura a empregos para policiais, fotos de perfil e documentos de identificação com detalhes como “verruga no nariz” e “corte no queixo”. Pelo menos uma imagem mostra uma pessoa segurando um documento com uma foto correspondente incluída nele. “A primeira coisa que vi foram milhares e milhares de impressões digitais”, diz Fowler.
Prateek Waghre, diretor executivo da organização indiana de direitos digitais Internet Freedom Foundation, diz que há uma “vasta” coleta de dados biométricos em toda a Índia, mas há riscos adicionais de segurança para as pessoas envolvidas na aplicação da lei. “Muitas vezes, a verificação usada por funcionários ou oficiais do governo também depende de sistemas biométricos”, diz Waghre. “Se isso for potencialmente comprometido, você estará em posição de alguém poder fazer uso indevido e obter acesso a informações que não deveriam.”
Parece que algumas informações biométricas sobre os responsáveis pela aplicação da lei já podem ser partilhadas online. Fowler diz que depois que o banco de dados exposto foi fechado, ele também descobriu um canal do Telegram, contendo algumas centenas de membros, que alegava vender dados da polícia indiana, inclusive de indivíduos específicos. “A estrutura, as capturas de tela e alguns nomes de pastas correspondiam ao que vi”, diz Fowler, que por razões éticas não comprou os dados vendidos pelos criminosos, por isso não pôde verificar completamente se eram exatamente os mesmos dados.
.
