Hackers afirmam ter acessado dados vinculados a milhões de informantes sobre crimes

Milhões de denúncias de crimes podem ter sido expostas depois que um grupo de hackers afirma ter comprometido sistemas usados ​​pelos programas Crime Stoppers e outras organizações em todo o mundo.

O incidente centra-se em Intel Global P3um fornecedor com sede no Texas de software de gerenciamento de dicas e inteligência baseado em nuvem de propriedade da Navigate360.

Os hacktivistas, conhecidos como “Internet Yiff Machine”, enviaram os dados roubados para Notícias Straight Arrow (SAN). De acordo com a SAN, o grupo forneceu um cache com mais de 8,3 milhões de registros retirados do P3. Os dados supostamente abrangem desde 1987 até 2025, e incluem dicas sobre crimes enviadas por meio de programas Crime Stoppers, agências de aplicação da lei, escolas e partes do governo federal dos EUA.

A SAN disse que verificou partes do conjunto de dados entrando em contato com informantes cujos detalhes apareceram nos registros. Arquivo vazado Negação distribuída de segredos (DDoSegredos) disse que também recebeu uma cópia e planeja compartilhá-la com jornalistas e pesquisadores avaliados.

Se os dados forem genuínos, parecem conter extensas informações pessoais sobre indivíduos acusados ​​em denúncias, incluindo nomes, endereços, números de telefone, datas de nascimento, placas de veículos, números de Seguro Social e outros identificadores. Apesar dos materiais de marketing que prometem aos informantes que sua identidade “permanecerá anônima em todos os momentos”, a SAN relata que os detalhes pessoais de alguns informantes que forneceram tais informações também aparecem em todo o conjunto de dados. O cache supostamente também inclui detalhes de contas de usuários, solicitações de suporte ao cliente, boletins internos de aplicação da lei e IDs de mensagens não criptografadas e senhas usadas por informantes para acompanhar os envios.

A empresa controladora da P3, Navigate360, não confirmou uma violação ou o escopo de qualquer exposição de dados. Em uma declaração à SAN, o CEO da Navigate360, JP Guilbault, disse:

“Até este momento, não confirmamos que qualquer informação sensível tenha sido acessada ou utilizada indevidamente.”

No entanto, a empresa contratou um fornecedor externo de análise forense após tomar conhecimento de um possível incidente de rede. Os sistemas do P3 permanecem operacionais enquanto esta investigação continua.

As reações das autoridades sugerem que pelo menos alguns clientes estão a tratar o incidente como um risco grave, mesmo na ausência de confirmação técnica completa. O Departamento de Polícia de Portland, que usa Crime Stoppers, aconselhado publicamente os residentes devem “abster-se temporariamente” de enviar denúncias através da plataforma Crime Stoppers enquanto a situação estiver sob análise.

Num comunicado citado pela mídia local e nacional, a agência disse estar ciente de relatos de uma potencial violação de dados em um serviço terceirizado usado para coletar dicas anônimas e que “por muita cautela” estava pedindo aos membros da comunidade que evitassem o serviço por enquanto. Em vez disso, a polícia de Portland está orientando as pessoas que desejam fornecer informações não anônimas a entrar em contato diretamente com o departamento.

“Anônimo” não é uma garantia técnica

De acordo com a SAN, o P3 pode capturar informações da sessão a partir de envios de dicas da web e de dispositivos móveis. Nesse caso, as partes interessadas poderiam potencialmente utilizar esses dados para ajudar a identificar informantes anônimos, destacando que “anônimo” não é uma garantia técnica. Embora nenhum método seja infalível, os especialistas recomendam os seguintes passos ao denunciar um crime:

• Use um navegador focado na privacidade e uma VPN confiável para ocultar seu endereço IP real.
• Evite incluir informações relativas que possam ser vinculadas a você, como “meu vizinho”, “meu chefe” ou “meu ex”.
• Se um formulário de denúncia exigir detalhes de contato, considere se você se sente confortável com o fato de a denúncia não ser mais anônima.
• Tira metadados dos arquivos que você carrega (fotos, documentos, vídeos), pois eles podem conter coordenadas GPS, IDs de dispositivos e carimbos de data/hora.

O que fazer se seus dados forem violados

Se você acha que foi afetado por uma violação de dados, aqui estão as etapas que você pode seguir para se proteger:

• Confira a assessoria da empresa. Cada violação é diferente, portanto, verifique com a empresa o que aconteceu e siga os conselhos específicos que ela oferece.
• Altere sua senha. Você pode tornar uma senha roubada inútil para os ladrões alterando-a. Escolha uma senha forte que você não use para mais nada. Melhor ainda, deixe um gerenciador de senhas escolher uma para você.
• Habilite a autenticação de dois fatores (2FA). Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como segundo fator. Algumas formas de 2FA podem ser phishing tão facilmente quanto uma senha, mas 2FA que depende de um dispositivo FIDO2 não pode ser phishing.
• Cuidado com os imitadores. Os ladrões podem entrar em contato com você se passando por plataforma violada. Verifique o site oficial para ver se ele está entrando em contato com as vítimas e verifique a identidade de qualquer pessoa que entre em contato com você por meio de um canal de comunicação diferente.
• Sem pressa. Os ataques de phishing muitas vezes se fazem passar por pessoas ou marcas que você conhece e usam temas que exigem atenção urgente, como entregas perdidas, suspensões de contas e alertas de segurança.
• Considere não armazenar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites lembrem os detalhes do seu cartão, mas aumenta o risco se um varejista sofrer uma violação.
• Configurar o monitoramento de identidadeque alerta você se suas informações pessoais forem negociadas ilegalmente online e ajuda você a se recuperar depois.

Não informamos apenas sobre privacidade – oferecemos a você a opção de usá-la.

Os riscos de privacidade nunca devem ultrapassar uma manchete. Mantenha sua privacidade online usando o Malwarebytes Privacy VPN.