Planos táticos detalhados para batidas policiais iminentes, relatórios policiais confidenciais com descrições de supostos crimes e suspeitos e um relatório de extração forense detalhando o conteúdo do telefone de um suspeito. Estes são alguns dos arquivos em um enorme cache de dados retirados dos servidores internos da ODIN Intelligence, uma empresa de tecnologia que fornece aplicativos e serviços para departamentos de polícia, após um hack e desfiguração de seu site no fim de semana.
O grupo por trás da violação disse em uma mensagem deixada no site da ODIN que invadiu a empresa depois que seu fundador e presidente-executivo, Erik McCauley, rejeitou um relatório da Wired, que descobriu que o principal aplicativo da empresa, o SweepWizard, usado pela polícia para coordenar e planejar incursões multiagências, era inseguro e derramava dados confidenciais sobre as próximas operações policiais para a web aberta.
Os hackers também publicaram as chaves privadas da Amazon Web Services da empresa para acessar seus dados armazenados na nuvem e alegaram ter “triturado” os dados e backups da empresa, mas não antes de exfiltrar gigabytes de dados dos sistemas da ODIN.
A ODIN desenvolve e fornece aplicativos, como o SweepWizard, para departamentos de polícia nos Estados Unidos. A empresa também desenvolve tecnologias que permitem que as autoridades monitorem remotamente criminosos sexuais condenados. Mas a ODIN também foi criticada no ano passado por oferecer às autoridades um sistema de reconhecimento facial para identificar pessoas sem-teto e usar linguagem degradante em seu marketing.
McCauley, da ODIN, não respondeu a vários e-mails solicitando comentários antes da publicação, mas confirmou o hack em uma divulgação de violação de dados arquivada no escritório do procurador-geral da Califórnia.
A violação não apenas expõe grandes quantidades de dados internos da ODIN, mas também gigabytes de dados confidenciais de aplicação da lei carregados pelos clientes do departamento de polícia da ODIN. A violação levanta questões sobre a segurança cibernética da ODIN, mas também a segurança e a privacidade de milhares de pessoas – incluindo vítimas de crimes e suspeitos não acusados de qualquer ofensa – cujas informações pessoais foram expostas.
O cache de dados ODIN hackeados foi fornecido ao DDoSecrets, um coletivo de transparência sem fins lucrativos que indexa conjuntos de dados vazados no interesse público, como caches de departamentos de polícia, agências governamentais, escritórios de advocacia e grupos de milícias. A cofundadora da DDoSecrets, Emma Best, disse ao TechCrunch que o coletivo limitou a distribuição do cache a jornalistas e pesquisadores, dada a grande quantidade de dados pessoalmente identificáveis no cache ODIN.
Pouco se sabe sobre o hack ou os intrusos responsáveis pela violação. Best disse ao TechCrunch que a fonte da violação é um grupo chamado “All Cyber-Cops Are Bastards”, uma frase mencionada na mensagem de desfiguração.
O TechCrunch revisou os dados, que não apenas incluem o código-fonte e o banco de dados interno da empresa, mas também milhares de arquivos policiais. Nenhum dos dados aparece criptografado.
uma captura de tela de um relatório tático, com redações do TechCrunch para remover informações pessoais e confidenciais, expostas pela violação.
Um documento policial, redigido pelo TechCrunch, com detalhes completos de uma próxima operação exposta pela violação. Créditos da imagem: TechCrunch (captura de tela)
Os dados incluíam dezenas de pastas com planos táticos completos de próximos ataques, ao lado de fotos suspeitas, suas impressões digitais e descrições biométricas e outras informações pessoais, incluindo informações sobre indivíduos que podem estar presentes no momento do ataque, como crianças, coabitantes e colegas de quarto, alguns dos quais são descritos como “sem histórico crim[inal]”. Muitos dos documentos foram rotulados como “apenas aplicação confidencial da lei” e “documento controlado” não para divulgação fora do departamento de polícia.
Alguns dos arquivos foram rotulados como documentos de teste e usavam nomes de oficiais falsos como “Superman” e “Capitão América”. Mas ODIN também usou identidades do mundo real, como atores de Hollywood, que provavelmente não consentiram que seus nomes fossem usados. Um documento intitulado “Fresno House Search” não tinha marcações para sugerir que o documento era um teste dos sistemas frontais da ODIN, mas afirmava que o objetivo do ataque era “encontrar uma casa para morar”.
O cache vazado de dados ODIN também continha seu sistema de monitoramento de criminosos sexuais, que permite que policiais e agentes de liberdade condicional registrem, supervisionem e monitorem criminosos condenados. O cache continha mais de mil documentos relacionados a criminosos sexuais condenados que são obrigados a se registrar no estado da Califórnia, incluindo seus nomes, endereços residenciais (se não encarcerados) e outras informações pessoais.
Os dados também contêm uma grande quantidade de informações pessoais sobre indivíduos, incluindo as técnicas de vigilância que a polícia usa para identificá-los ou rastreá-los. O TechCrunch encontrou várias capturas de tela mostrando os rostos das pessoas combinados com um mecanismo de reconhecimento facial chamado AFR Engine, uma empresa que fornece tecnologia de correspondência facial para departamentos de polícia. Uma foto parece mostrar um policial segurando à força a cabeça de uma pessoa na frente da câmera do telefone de outro policial.
Outros arquivos mostram a polícia usando leitores automáticos de placas, conhecidos como ANPR, que podem identificar onde um suspeito dirigiu nos últimos dias. Outro documento continha o conteúdo completo – incluindo mensagens de texto e fotos – do telefone de um criminoso condenado, cujo conteúdo foi extraído por uma ferramenta de extração forense durante uma verificação de conformidade enquanto o infrator estava em liberdade condicional. Uma pasta continha gravações de áudio de interações policiais, algumas onde os policiais são ouvidos usando a força.
O TechCrunch entrou em contato com vários departamentos de polícia dos EUA cujos arquivos foram encontrados nos dados roubados. Nenhum respondeu aos nossos pedidos de comentário.
O site da ODIN, que ficou offline pouco tempo depois de ter sido desfigurado, permanece inacessível a partir de quinta-feira.
Fonte Leia mais: https://techcrunch.com/2023/01/21/odin-intelligence-breach-police-surveillance/
