.
ACRO, o escritório de registros criminais do Reino Unido, está analisando um “incidente de segurança cibernética” que o forçou a retirar seu portal do cliente do ar.
Como o nome indica, a agência governamental gerencia as informações de registros criminais das pessoas, verificando as pessoas conforme necessário para quaisquer condenações, advertências ou processos em andamento. Ele não trabalha apenas com a polícia e empresas britânicas: ele troca esses dados com outros países.
Esses dados, usados por empregadores que examinam possíveis contratações e embaixadas que processam pedidos de visto, são extraídos do Computador Nacional da Polícia do Reino Unido por meio de um acordo de compartilhamento de informações. ACRO tem com o Gabinete.
A entrada de dados normalmente inclui uma década de histórico de nomes e endereços, informações de família estendida, um novo endereço no exterior, representação legal, informações de passaporte, fotos e dados PIN de advertências, repreensões, prisões, acusações ou condenações.
Lamentamos muito que, devido à sua interação com a ACRO, seus dados possam ter sido afetados
Em um e-mail para usuários esta semana – visto por El Reg – ACRO confirmou que “foi recentemente informado sobre um incidente de segurança cibernética que afetou o site entre 17 de janeiro de 2023 e 21 de março de 2023”.
“Neste momento”, acrescentou, “não temos evidências conclusivas de que os dados pessoais tenham sido afetados pelo incidente de segurança cibernética; no entanto, é justo informá-lo sobre a situação. Lamentamos muito que, devido à sua interação com ACRO, seus dados podem ter sido afetados e estamos trabalhando incansavelmente para resolver esse problema.”
“Assim que a ACRO tomou conhecimento desse incidente, tomamos medidas robustas para colocar o portal do cliente offline para que pudéssemos investigar completamente”, continuou a mensagem.
O site agora diz aos visitantes: “Obrigado pela paciência enquanto trabalhamos em nossos problemas técnicos”. Listas da ACRO onde os usuários podem obter formulários de solicitação de Certificados Internacionais de Proteção à Criança ou da Polícia.
Uma verificação rápida no Twitter mostra o atendimento ao cliente da ACRO anotado em 21 de março que o site estava indisponível devido a manutenção e parece ter caído desde então com mais uma atualização em 31 de março.
Aqueles que receberam o e-mail estavam usando os serviços da ACRO como requerente direto; “em apoio a um pedido como um endossante nomeado; ou um profissional administrando o pedido para e com o requerente.”
A ACRO disse que “não parece haver nenhum risco potencial para suas informações de pagamento” ou para as informações ou certificados enviados após o aplicativo.
“Os dados pessoais que podem ter sido afetados são quaisquer informações que você nos forneceu, incluindo informações de identificação e quaisquer dados de condenação criminal.” Acrescentou: “Se você tivesse um endossante nomeado, profissional ou outro terceiro, seu nome, relação com o requerente, ocupação, números de telefone, endereço de e-mail e número de referência do caso poderiam ter sido afetados”.
O órgão regulador da privacidade da Grã-Bretanha, o ICO, foi informado da confusão, diz a ACRO, que também está trabalhando com o Centro Nacional de Segurança Cibernética (NCSC) – uma ramificação do centro nervoso de inteligência GCHQ – para investigar o assunto.
“Levamos a segurança dos dados muito a sério e garantiremos que o assunto seja totalmente investigado; parte da investigação incluirá aprender como podemos identificar, prevenir e bloquear quaisquer futuras ameaças à segurança”, disse a ACRO em seu e-mail.
Não temos certeza de que a ACRO deva fornecer conselhos de segurança agora, mas, de qualquer forma, instou os usuários a usarem “senhas fortes e exclusivas” para suas contas on-line e a ficarem atentos a atividades suspeitas, “por exemplo, possíveis e-mails de phishing.”
Em 31 de março, a conta do Twitter da ACRO perguntou a alguém que enviaram um formulário de inscrição por e-mail ou enviaram as caixas de correio dedicadas desde que o site caiu para lidar com isso.
“O problema do site e o processamento manual de aplicativos criaram um acúmulo, mas estamos alocando mais recursos para nossa equipe de atendimento ao cliente e analisando a lista o mais rápido possível”, observou.
Pedimos à assessoria de imprensa da ACRO que comentasse sobre o ponto de entrada do sistema pelos invasores; o que exatamente esses canalhas conseguiram quando estavam lá dentro por tanto tempo; para detalhes técnicos de qualquer malware usado; se houver qualquer palavra sobre os outros dados acessados; e se os dados de pagamento foram mantidos em um sistema separado.
Um porta-voz da ACRO disse que não foi possível responder às nossas perguntas porque uma investigação está em andamento, “mas pode confirmar que o site foi retirado do ar em 21 de março”. As demais declarações que fez já constavam do mea culpa aos usuários.
O NCSC nos disse: “Estamos cientes de um incidente que afeta o Escritório de Registros Criminais da ACRO e estamos trabalhando com eles para entender completamente o impacto”. A ICO disse que também está ciente do incidente e “fazendo perguntas”. ®
.
