O Yahoo criou secretamente um software personalizado para pesquisar todos os emails recebidos por usuários de seus serviços. O programa buscava informações específicas requeridas por autoridades de inteligência dos Estados Unidos, de acordo com pessoas familiarizadas com o assunto.
A empresa cumpriu com uma diretriz secreta do governo dos EUA, pesquisando centenas de milhões de contas do Yahoo Mail por ordem da Agência Nacional de Segurança ou da polícia federal norte-americana, FBI, disseram dois ex-funcionários e uma terceira pessoa informada sobre os eventos.
Alguns especialistas em vigilância disseram que isto representa o surgimento do primeiro caso de uma empresa de Internet norte-americana a concordar com exigência de uma agência de espionagem para pesquisar todas as novas mensagens, em vez de analisar emails armazenados ou um pequeno número de contas em tempo real.
Não se sabe quais informações as autoridades de inteligência dos EUA estavam procurando, apenas que elas queriam que o Yahoo pesquisasse um conjunto de caracteres. Isto pode significar uma frase em um email ou um anexo, disseram as fontes, que não quiseram ser identificadas.
A Reuters não pode determinar quais dados o Yahoo pode ter entregado, se é que o fez, e se as autoridades de inteligência dos EUA abordaram outros provedores de emails além do Yahoo com este tipo de solicitação.
De acordo com dois ex-funcionários, a decisão da presidente-executiva do Yahoo, Marissa Mayer, de obedecer a diretriz irritou alguns executivos de alto escalão e levou à saída, em junho de 2015, do diretor de segurança de informações, Alex Stamos, que agora detém o principal cargo de segurança do Facebook.
“O Yahoo é uma empresa que obedece a legislação e cumpre com as leis dos Estados Unidos”, disse a empresa em um breve comunicado em resposta às perguntas da Reuters sobre o assunto.
Através de um porta-voz do Facebook, Stamos negou um pedido de entrevista.
A NSA encaminhou questionamentos da Reuters ao Escritório do Diretor de Inteligência Nacional, que não quis comentar o assunto.
A exigência de busca nos emails do Yahoo veio na forma de uma diretriz confidencial enviada ao departamento jurídico da empresa, de acordo com as três pessoas familiarizadas com o assunto.
As empresas de telefonia e Internet dos EUA entregaram dados de usuários para agências de inteligência, mas alguns ex-oficiais do governo dos EUA e especialistas em vigilância particulares disseram que não viram anteriormente uma diretriz tão ampla para a coleta de dados em tempo real ou uma que exigisse a criação de um novo programa de computador para isso.
“Eu nunca vi isso, um grampo em tempo real em um ‘selecionador'”, disse Albert Gidari, um advogado que representou empresas de telefonia e Internet em assuntos de vigilância há 20 anos, antes de ir trabalhar ara a Universidade Stanford este ano. Um selecionador se refere a um termo para um tipo de busca que se concentra em informações específicas.
“Seria muito difícil para um provedor fazer isso”, acrescentou.
Especialistas disseram que era provável que a NSA ou o FBI tenham abordado outras empresas de Internet com a mesma exigência, uma vez que evidentemente eles não sabem quais contas de email foram usadas pelo alvo. A NSA normalmente faz solicitações para vigilância doméstica através do FBI, então é difícil saber qual agência está buscando a informação.
A Reuters não pode confirmar se a exigência de 2015 foi feita a outras empresas, ou se alguma cumpriu a ordem.
O Google, da Alphabet, e a Microsoft, duas das maiores provedoras de email dos EUA, não responderam a pedidos de comentários.
DESAFIANDO A NSA
Sob a legislação que inclui as emendas de 2008 ao Ato de Vigilância de Inteligência Estrangeira, as agências de espionagem dos EUA foram autorizadas a pedir que as empresas de telefonia e Internet forneçam dados de clientes para ajudar esforços de coleta de informações estrangeiras por várias razões, incluindo a prevenção de ataques terroristas.
Revelações do ex-prestador de serviços da NSA Edward Snowden e outros expuseram a extensão da vigilância eletrônica e levaram as autoridades dos EUA a recuarem modestamente em alguns dos programas, em parte para proteger direitos de privacidade.
Empresas incluindo o Yahoo questionaram algumas das vigilâncias secretas diante do Tribunal de Vigilância de Inteligência Estrangeira, uma corte secreta.
Alguns especialistas disseram que o Yahoo poderia ter pelo menos questionado contra a diretriz do ano passado em pelo menos duas áreas: a amplitude da demanda e a necessidade de criar um programa especial para pesquisar os emails de todos os usuários em trânsito.
A Apple usou um argumento similar mais cedo este ano quando se recusou a criar um programa especial para invadir um iPhone usado no massacre de San Bernardino, em 2015. O FBI retirou o caso depois de ter destravado o celular com a ajuda de uma terceira parte, então nenhum precedente foi criado.
Outros especialistas defenderam a decisão do Yahoo de obedecer, dizendo que nada proíbe o tribunal de vigilância de exigir uma busca por um termo específico em vez de uma conta específica. A chamada coleta de dados “upstream” de operadoras de telefonia baseadas em conteúdos foi considerada legal, disseram eles e a mesma lógica poderia ser aplicada a empresas de Internet.
Com as empresas de tecnologia melhorando sua criptografia de dados, elas provavelmente enfrentarão mais exigências de agências de espionagem.
O ex-conselheiro geral da NSA Stewart Baker disse que os provedores de email “têm o poder de criptografar tudo, e com isso vem a responsabilidade de fazer uma parte do trabalho que vinha sendo feito por agências de inteligência”.
PROGRAMA SECRETO DE FILTRAGEM
Mayer e outros executivos decidiram cumprir com a ordem no ano passado, em vez de se colocarem contra ela, em parte porque pensaram que perderiam a disputa, disseram pessoas familiarizadas com o assunto.
Em 2007, o Yahoo foi contra uma exigência para que conduzisse buscas em contas de email específicas sem um mandado judicial. Detalhes do caso permanecem sigilosos, mas uma opinião parcialmente redigida e publicada mostrou que o desafio do Yahoo não foi bem sucedido.
Alguns funcionários do Yahoo ficaram contrariados sobre a decisão de não contestar a ordem mais recente e acreditavam que companhia poderia ter prevalecido, disseram as fontes.
Eles também ficaram contrariados porque Mayer e o advogado geral do Yahoo, Ron Bell, não envolveram a equipe de segurança da empresa no processo e, em vez disso, pediram aos engenheiros de email para escreverem um programa que filtrassem as mensagens contendo a sequência de caracteres que os espiões dos EUA buscavam e as armazenasse para recuperação remota, de acordo com as fontes.
As fontes disseram que o programa secreto foi descoberto pela equipe de segurança do Yahoo em maio de 2015, poucas semanas depois de sua instalação. A equipe de segurança inicialmente pensou que hackers tinham invadido o sistema.
Quando Stamos descobriu que Mayer autorizou o programa, ele se demitiu como diretor de segurança de informações e disse a seus subordinados que ele havia sido excluído de uma decisão que prejudicava a segurança dos usuários, disseram as fontes. Devido a uma falha do programa, ele disse que hackers poderiam ter acessado os emails armazenados.
Stamos anunciou em junho de 2015 que havia sido contratado pelo Facebook e não mencionou quaisquer problemas com o Yahoo.
Em um incidente separado, o Yahoo afirmou no mês passado que hackers “patrocinados por um Estado” tinham obtido acesso a 500 milhões de contas de usuários em 2014. As revelações levaram a novos questionamentos sobre as práticas de segurança do Yahoo, que tenta completar um acordo para ser vendido para a operadora de telecomunicações Verizon Communications por 4,8 bilhões de dólares.
*Com agência Reuters