Pesquisador de segurança invadido pelo FBI por encontrar e relatar dados expostos publicamente

FBI Invade Casa de Pesquisador que Alertou Empresa sobre Dados Expostos Publicamente

Isso acontece na América novamente. Depois de prender um pesquisador de segurança por expor falhas em um site de eleições, agora o FBI invadiu a casa do pesquisador que havia relatado sobre dados expostos publicamente a uma empresa.

Parece que os responsáveis pela lei na América não conseguem distinguir entre criminosos cibernéticos e pesquisadores de segurança genuínos que se comprometem a relatar falhas a empresas/autoridades para o bem maior. A casa de Justin Shafer, 36, do Texas, um técnico em informática dental e pesquisador de segurança de software, foi invadida por mais de uma dúzia de agentes do FBI que no passado relataram problemas de segurança na infraestrutura de software e servidores de um provedor de serviços de saúde baseado nos EUA, relata o The Daily Dot.

Antes de ter sua casa revistada, Shafer havia relatado uma vulnerabilidade no software de gerenciamento de prática Eaglesoft ao fabricante Patterson Dental em fevereiro, que estava armazenando registros privados de pacientes em um servidor FTP disponível publicamente. Eaglesoft é fabricado pela Patterson Dental, uma divisão da Patterson Companies.

Shafer descobriu isso enquanto investigava o software Eaglesoft da empresa. Ele estava procurando as credenciais do banco de dados codificadas quando descobriu um servidor FTP anônimo que qualquer um poderia acessar. Shafer notificou a empresa, bem como o CERT.

Shafer trabalhou com o DataBreaches.net para proteger o servidor FTP com a Patterson Dental e tornou suas descobertas públicas em meados de fevereiro. O servidor FTP inseguro do Eaglesoft expôs informações sensíveis sobre cerca de 22.000 pacientes, e Shafer afirma que isso ocorreu desde 2006.

No final de março, o US-CERT também publicou um alerta sobre os problemas do software Eaglesoft da Patterson Dental, relacionados às suas credenciais de banco de dados codificadas. Ele escreveu: “Um atacante com conhecimento das credenciais codificadas e com acesso à rede do banco de dados pode ser capaz de obter informações sensíveis dos pacientes.” O CERT acrescentou que estava “atualmente inconsciente de uma solução completa para esse problema.”

No entanto, avançando vários meses, Shafer e sua esposa, que estavam dormindo tranquilamente, foram acordados às 6h30 da manhã da última terça-feira com o toque da campainha que começou a tocar continuamente. Mais tarde, a família ouviu um forte batido na porta.

“Meu primeiro pensamento foi que meu pai havia morrido,” disse Shafer ao Daily Dot em uma entrevista por telefone, “mas então, ao ir até a porta, vi todas as luzes azuis e vermelhas piscando.”

Com o bebê chorando de medo com o barulho, Shafer abriu a porta e encontrou o que ele estimou ser de 12 a 15 agentes do FBI. Um estava “apontando uma arma de assalto ‘grande e verde’ para mim,” disse Shafer ao Daily Dot, “e o berço do bebê estava a poucos pés da porta.”

Os agentes supostamente ordenaram que Shafer colocasse as mãos atrás das costas. Enquanto o algemavam, sua filha de 9 anos chorava de terror, disse Shafer. Sua esposa tentou informar os agentes que havia três crianças pequenas na casa, mas aparentemente eles não se importaram.

Uma vez algemado, Shafer foi arrastado para fora ainda vestindo suas roupas íntimas, “sem saber o que estava acontecendo ou por quê.”

Os agentes, nas horas seguintes, apreenderam todos os computadores e dispositivos de Shafer—“e até minhas revistas Dentrix,” disse Shafer. “A única coisa que eles deixaram foi o telefone da minha esposa.” A lista de propriedade apreendida mostra que os agentes federais levaram 29 itens.

Qual foi seu suposto crime? Divulgação responsável. Em vez de agradecer ao pesquisador por sua divulgação adequada de um vazamento de dados sensíveis, a Patterson Digital apresentou uma queixa às autoridades locais sobre ter sido hackeada.

Os agentes do FBI disseram a Shafer durante a busca na casa que a Patterson Dental havia alegado que ele “excedeu o acesso autorizado” ao pesquisar a questão do servidor FTP disponível publicamente.

Qualquer um poderia ter acessado o servidor, não era como se estivesse seguro. Shafer disse ao Daily Dot que o servidor FTP estava inseguro há anos.

Em uma declaração por e-mail, ele escreveu:

“Muitos profissionais de TI na indústria dental sabem que o site FTP da Patterson está inseguro há muitos anos. Eu realmente me lembro de eles terem um site FTP com senha em 2006. Para obter a senha, você ligava para o suporte técnico da Eaglesoft/Patterson Dental e eles simplesmente lhe davam a senha do site FTP se você quisesse baixar algo. Nunca mudou. Em algum momento, eles tornaram o site FTP anônimo. Acho que por volta de 2010.”

Esta não é a primeira vez que Shafer enfrenta esse problema na indústria da saúde. No passado, o pesquisador descobriu que a Henry Schein estava fazendo alegações falsas de que seu software Dentrix G5 estava usando criptografia. As descobertas de Shafer levaram a outro alerta do US-CERT e a uma multa da FTC.