Os registros policiais de Los Angeles são guardados de perto, protegidos por algumas das leis de privacidade mais rígidas do país.
Mas agora, muitos desses arquivos secretos vazaram online, juntamente com dezenas de milhares de outros registros confidenciais do gabinete do procurador da cidade de Los Angeles.
A extensão da violação de dados permanece incerta e as autoridades municipais dizem que estão investigando para determinar o que foi levado, quem foi o responsável e como a segurança cibernética da cidade foi comprometida.
As consequências foram rápidas desde que o The Times relatou a violação no início desta semana.
Na sexta-feira, o sindicato do LAPD anunciou que estava retirando o seu apoio a Hydee Feldstein Soto enquanto ele fazia campanha para a reeleição como procurador-geral. Naquele mesmo dia, as autoridades municipais também disseram que planejavam ligar para Feldstein Soto para testemunhar sobre quando ele soube do vazamento.
Uma porta-voz do gabinete do procurador da cidade disse na tarde de sexta-feira que Feldstein Soto “apresentou o seu relatório confidencial ao Conselho esta manhã”, acrescentando que “espera discutir esta intrusão cibernética” com os membros do conselho na próxima semana.
O comunicado disse que o escritório “foi vítima de comportamento criminoso ilegal”.
“Surgiram invasões cibernéticas ilícitas e parecem estar limitadas a um programa de software externo”,
Um grupo de hackers de ransomware chamado WorldLeaks, que ganhou reputação por sequestrar organizações públicas e privadas ao ameaçar divulgar arquivos confidenciais online, assumiu a responsabilidade.
O grupo anunciou a violação pela primeira vez em 20 de março. As autoridades municipais e do LAPD não comentaram se os hackers exigiram um resgate em troca da não divulgação das informações – ou se a cidade pagou. Alguns relatórios sugerem que o grupo estava por trás do boicote ao metrô de Los Angeles no mês passado, que o forçou a fechar parte da rede de transporte público.
O Times conversou com diversas fontes familiarizadas com a investigação de violação de dados, que pediram para permanecer anônimas porque não estavam autorizadas a falar publicamente sobre o assunto, e analisaram partes dos arquivos vazados, incluindo capturas de tela de alguns dos dispositivos.
Aqui está o que sabemos até agora.
Como os hackers conseguiram acesso aos arquivos do LAPD?
O grupo de hackers aparentemente explorou uma vulnerabilidade em um sistema usado pelo gabinete do procurador da cidade de Los Angeles, permitindo ao grupo acessar quase 340 mil arquivos, segundo fontes familiarizadas com o caso.
Após os protestos de George Floyd, disseram fontes, a cidade foi inundada com dezenas de ações judiciais de manifestantes feridos por policiais do LAPD. Para lidar com o dilúvio de novos casos, a cidade criou um sistema de partilha de ficheiros para que os advogados de ambos os lados pudessem aceder a materiais de descoberta, incluindo alguns considerados independentes da ordem judicial.
É semelhante ao Dropbox ou Google Drive, disseram as fontes, e o acesso deve ser limitado apenas a usuários autorizados.
Mas o sistema, segundo duas fontes familiarizadas com a investigação, não era protegido por senha porque as autoridades municipais consideraram necessário o acesso a outras partes, incluindo advogados externos contratados para auxiliar no litígio civil.
Fontes disseram que o sistema se expandiu além do estágio inicial e incluiu centenas de registros do LAPD.
A promotoria disse na sexta-feira que o hack afetou uma “plataforma de compartilhamento de documentos”.
“O comando do LAPD e o pessoal da cidade do ITA foram imediatamente notificados e temos mantido contato quase diário com os departamentos e autoridades municipais enquanto trabalhamos neste processo”, disse o comunicado.
Qual é o efeito do vazamento em massa?
A violação de dados poderá ter implicações políticas para Feldstein Soto.
Na semana passada, ele recebeu o endosso da Liga Protetora da Polícia de Los Angeles, que representa a maioria dos policiais do LAPD abaixo do posto de capitão. Mas numa carta ao procurador da cidade na sexta-feira, dirigentes sindicais disseram que estavam retirando o apoio porque “não se manifestaram repetidamente” sobre a “destruição de dados de arquivos confidenciais do LAPD” em seu escritório.
“Vocês nunca nos informaram dessa violação, ficamos sabendo lendo o jornal e esta não é a forma de tratar o sindicato e nossos associados”, dizia a carta, assinada pelo presidente da liga, Ricky Mendoza.
Autoridades sindicais dizem que Feldstein Soto os manteve no escuro quando se reuniu com eles em 25 de março para pedir sua aprovação. O fato de ele “não ter divulgado voluntariamente esta violação… é indesculpável”, disse o comunicado.
Os dirigentes da Liga exigiram que ele removesse qualquer menção ao sindicato da sua página de campanha e que “não usasse o nosso endosso revogado para comunicar com os eleitores”.
A Câmara Municipal também pressionou Feldstein Soto sobre quando soube das violações.
A vereadora Ysabel Jurado elaborou uma moção na sexta-feira, que ela disse que será apresentada na próxima semana, que ordenaria que o gabinete do procurador da cidade e a Agência de Tecnologia da Informação de Los Angeles informassem sobre “períodos de violação, escopo, obrigações de notificação, controles de fornecedores, vulnerabilidades e ações corretivas”.
“A parte mais assustadora disto não é apenas a violação, mas o facto de o presidente da Câmara poder ter conhecimento e não ter fornecido transparência atempada ao Conselho e ao público”, disse Jurado num comunicado.
O gabinete do procurador da cidade disse na sexta-feira que o pessoal de comando do LAPD e outras partes relevantes foram “notificados imediatamente” quando o hack foi descoberto.
“O procurador da cidade compreende e partilha as frustrações dos funcionários e dos sindicatos e reafirma o seu compromisso inabalável com a segurança pública e com os homens e mulheres trabalhadores do Departamento de Polícia de Los Angeles que servem e protegem a nossa cidade todos os dias”, afirmou um comunicado do gabinete de Feldstein Soto.
Os dois adversários de Feldstein Soto nas eleições primárias da cidade de 2 de junho aproveitaram as violações como prova de que o advogado não está apto para o cargo.
“Ao manter o público no escuro, as testemunhas e as famílias do Departamento de Polícia de Los Angeles podem estar em risco”, disse John McKinney, que chefia o Gabinete de Crimes Graves do Gabinete do Procurador do Condado de Los Angeles.
Marissa Roy, vice-procuradora-geral do estado e a mais bem paga dos três adversários, acusou Feldstein Soto de ignorar as preocupações com a privacidade de dados levantadas por pessoas em seu gabinete.
“Quando ocorre uma violação tão sensível, a resposta deve ser uma comunicação rápida, transparente e proativa, e não um encobrimento”, disse ele em comunicado.
Os advogados da polícia relataram muitas ligações de clientes preocupados com a exposição de seus funcionários e registros médicos, levantando a possibilidade de ações judiciais mais caras. Cerca de 900 policiais estão atualmente processando o departamento por divulgar fotos e outros materiais em 2023 em resposta a solicitações de registros públicos.
Feldstein Soto tem estado entre os que pressionaram os legisladores da Califórnia para enfraquecer a lei estadual de registros públicos, propondo mudanças que permitiriam às agências estaduais negar solicitações de registros públicos que buscassem “imagens ou dados que possam identificar pessoalmente” funcionários.
Quanta informação é recebida e o que contém?
No total, de acordo com o artigo sobre violação de dados, estavam disponíveis 7,7 terabytes de informação.
A declaração do LAPD descreveu os arquivos do hack recente como provenientes de um caso encerrado, mas pelo menos um dos arquivos revisados pelo The Times incluía um processo de abuso sexual movido por um policial que será julgado na próxima semana.
Arquivos pessoais de dezenas de ex-oficiais também foram divulgados. O arquivo de cada funcionário é armazenado em um sistema denominado TEAMS II.
Um histórico detalhado que inclui registros de suas prisões, treinamentos que frequentaram, reclamações de cidadãos que receberam e processos judiciais dos quais participaram, juntamente com históricos de colisões de trânsito, tiroteios ou outros usos de força, elogios, nomeações, reclamações de funcionários e muito mais.
Esses registos podem ser entregues para descoberta em processos civis, mas geralmente estão sob ordens de protecção que os restringem de serem partilhados publicamente.
Um usuário desconhecido da Internet baixou os terabytes de dados uma semana após seu lançamento. Resta saber o que acontecerá a seguir.
