O contato inicial é apenas o começo. Além disso, uma vez que o Whistleblower Aid tenha assinado os clientes, ele recomenda o uso do Signal para a maioria das mensagens. “Passamos muito tempo tentando manter nossos dispositivos seguros”, diz Tye.
Nem todas as denúncias são iguais, e cada denunciante tem seu próprio conjunto de riscos. Alguém que está denunciando más práticas da Big Tech enfrentará diferentes ameaças possíveis a um denunciante de segurança nacional, por exemplo. Tye diz que a Whistleblower Aid realiza modelagem de ameaças para cada um de seus clientes, avaliando os riscos que eles enfrentam e de onde ou de quem esses riscos podem vir. Uma consideração, diz ele, é se certos serviços de computação em nuvem podem ser usados - um serviço pode ser mais arriscado se tiver um relacionamento com um governo.
“Com muitos clientes, damos dispositivos especiais que usam apenas conosco”, diz Tye. A maior parte da comunicação acontece por meio do Signal. Às vezes, o Whistleblower Aid usa telefones que não incluem chips de banda base, que controlam os sinais de rádio emitidos pelo dispositivo, para reduzir o risco. “Nós criamos maneiras de isolar os dispositivos, nós os usamos sem chips de banda base. Esse é um vetor de ataque que eliminamos”, diz Tye. Em alguns casos, a organização usa configurações personalizadas de VPN; em outros, os telefones são transportados em sacos faraday. “Existem maneiras de levar dispositivos a pessoas que, se eles os usarem de acordo com as instruções, não há como rastrear quaisquer metadados até essa pessoa”, diz Tye.
Para denunciantes, tomar medidas extras para tentar manter o anonimato pode ser crucial. O sistema de denúncia de denunciantes da Comissão Europeia aconselha as pessoas que usam sua própria ferramenta de denúncia a não incluir seus nomes ou qualquer informação pessoal nas mensagens que enviam e, se possível, acessar sua ferramenta de denúncia “copiando ou escrevendo o endereço URL” em vez de clicar em um link para reduzir a criação de registros digitais adicionais.
Não é apenas a segurança digital que precisa ser considerada – em alguns casos, a segurança física das pessoas também pode ser colocada em risco. Isso pode incluir questões de segurança nacional ou tópicos controversos. Por exemplo, funcionários do FBI, da CIA e do Departamento de Estado uma vez realizaram reuniões diárias para descobrir maneiras de capturar Edward Snowden, que vazou uma coleção de documentos detalhando programas de vigilância confidenciais da NSA.
“ Em cinco anos, tivemos dois casos em que tivemos que colocar guardas armados em pessoas, advogados e clientes”, diz Tye. Às vezes, isso inclui encontrar clientes em “locais incomuns”, incluindo reservar Airbnbs para reuniões – ocasionalmente, terceiros são usados para fazer a reserva em outro nome. “Nem parece que alugamos o lugar para nos encontrarmos com alguém”, diz Tye.
Mas em um mundo onde estamos constantemente sendo rastreados através de nossos dispositivos e os sinais que eles transmitido para o mundo, a melhor coisa pode ser manter os registros off-line. “Pessoalmente é o melhor”, diz Tye. A organização sem fins lucrativos aconselha a realização de reuniões longe dos dispositivos. “Temos até uma máquina de escrever que usamos para documentos sensíveis.”
