FARRA COM DADOS
Uso de ferramenta que cruza conexões do Facebook e dados da polícia explode no país
Fernando Ameno/Intercept_ Brasil
“Big data contra o crime”. É assim que Rafael Velasquez, sócio da Techbiz Forense Digital, propagandeia o Snap Sinapses Desktop, ferramenta de análise de dados desenvolvida pela empresa. Segundo seus vendedores, o Snap pode rastrear contatos de contas fechadas do Facebook e Instagram e cruzá-los com bases de dados sigilosas, de uso exclusivo das polícias.
A farra com dados pessoais, que incluem também dados financeiros coletados por empresas de crédito, já chegou a vários estados e órgãos de investigação do Brasil – e também a empresas privadas. O Intercept Brasil encontrou contratos de pelo menos 15 órgãos públicos, de 10 estados diferentes, de compra do Snap.
Em uma apresentação à qual tivemos acesso, o representante da Techbiz garante que há acesso a informações de seguidores em contas fechadas de redes sociais da Meta. A capacidade está expressa também no contrato da empresa com a Secretaria de Fazenda de Minas Gerais. O acordo prevê a “implementação de métodos avançados que permitem identificar conexões quando a lista de amigos não esteja pública”. Outros seis contratos com órgãos governamentais têm essa mesma cláusula.
“A gente não sabe exatamente o que o estado vai fazer com essas informações”, me disse André Boselli, assessor de Direitos Digitais da ONG Artigo 19 e um dos autores do estudo “As práticas de Inteligência de Fontes Abertas são amigas ou inimigas dos direitos humanos?“.
Para Boselli, a falta de transparência é problemática porque os cidadãos não sabem o que está se investigando e com quais critérios. “Se os órgãos de segurança estatais passam a usar OSINT, o estado não vai estar fazendo patrulha simplesmente. Ferramentas tecnológicas aumentam, em termos quantitativos, essa potência investigativa e fiscalizatória do estado. O vigilantismo entra num outro patamar”.
Ferramenta inclui bases de dados sigilosas do governo
Techbiz é uma das maiores fornecedoras de tecnologias de hacking do Brasil. É, por exemplo, a única vendedora do Cellebrite, tecnologia israelense de extração de dados que explodiu no Brasil nos últimos anos.
O Snap surgiu de uma parceria da empresa com a Polícia Civil de São Paulo, segundo a própria Techbiz em seu site (a informação foi retirada do ar depois desta reportagem do Intercept). Depois, a ferramenta se difundiu por vários órgãos públicos, estaduais e federais – apesar de nem sempre as contratações serem publicizadas.
O contrato firmado com a Secretaria de Fazenda de Minas Gerais deixa clara a dimensão do Snap. Além do acesso a informações no Facebook e Instagram, ele prevê, como itens obrigatórios, consultas em ao menos 50 diferentes tipos de plataformas e redes sociais.
Entre elas estão Facebook, Instagram, LinkedIn, Twitter e Skype, além de OLX, Mercado Livre, Google, Google Maps, Jusbrasil, Credilink, DocumentCloud e Wikileaks. Essas consultas incluem interações, retuítes, localização, datas e amigos em comum, além de encontrar perfis com base em nomes e fotos.
Não fica claro como o Snap consegue acessar as conexões de contas fechadas. Para Rodolfo Avelino, professor do Insper com mais de 28 anos de experiência em tecnologia da informação, é possível que haja um acordo com a Meta, já que o grupo permitia esse tipo de acesso no passado.
As outras hipóteses seriam com cruzamentos de dados nas plataformas – interações públicas, por exemplo – ou explorando alguma vulnerabilidade das plataformas.”Eu não colocaria no meu portfólio uma coisa que eu não conseguisse entregar”, me disse Avelino.
Procurada, a Meta não respondeu sobre a existência de algum tipo de acordo. “Com base no que sabemos, não temos motivos para acreditar que as alegações sejam o resultado de vazamentos ou de incidentes de segurança”, disse a empresa, que afirmou tomar “todas as medidas apropriadas se identificar que suas políticas foram violadas”.
O Snap também prevê em contrato reconhecimento facial em fotos do Facebook, Instagram, LinkedIn, MySpace e Twitter – algo semelhante ao que a Clearview faz, criando bases de dados com fotos públicas sem consentimento –, além da extração de metadados das fotos postadas, como local e data de publicação. A ferramenta consegue ainda integrar as soluções da Cellebrite vendidas pela própria Techbiz.
Na demonstração, os representantes da empresa mostraram que essas informações de redes sociais podem ser cruzadas com bancos de dados públicos e privados.
“A partir de uma única interface, juntamos dados de câmeras de vídeo, computadores, drones, dispositivos celulares, arquivos de quebra de sigilo telefônico e bancário, enriquecendo esses dados com dark web, fontes abertas, fontes governamentais, portais da transparência estaduais e federal, fontes comerciais”, disse Velasquez em uma live feita ao Ministério Público paulista.
Uma das primeiras buscas que se pode fazer na plataforma para obter mais informações sobre determinada pessoa, por exemplo, é por meio do birô de crédito Credilink. Essa empresa propagandeia que tem o “maior banco de dados do Brasil”, contendo múltiplas informações sobre pessoas e empresas em todo país. Questionada, a Credilink não se pronunciou.
Outra base de dados integrada é a da Jusbrasil, que reúne publicações em diários oficiais e de processos judiciais. Ao Intercept, a empresa afirmou que atua em conformidade com a LGPD e que a Techbiz não aparece no rol de clientes. Também disse que seus termos de uso proíbem a utilização de seus dados para fins discriminatórios, abusivos ou ilícitos.
No contrato obtido pelo Intercept, constam ainda dados de outras fontes governamentais de uso privado, como o Sinesp-Infoseg e o Simba, que têm informações sensíveis como boletins de ocorrência e são de uso exclusivo de órgãos de segurança pública, fazendários e de justiça, além de outras bases de dados da Polícia Civil de São Paulo.
Big brother de big data
Acapacidade que o Snap tem de estabelecer conexões impressiona. A partir de uma única busca – nome, CPF, CNPJ ou telefone, por exemplo –, o sistema varre seus vários bancos de dados. A partir dali, é possível realizar novas pesquisas para aprofundar os resultados e achar novas conexões.
O Snap é integrado aos softwares da Maltego, uma das principais ferramentas de OSINT da atualidade. Desenvolvido originalmente pela empresa sul-africana Paterva, o Maltego é utilizado por agências de investigação ao redor do mundo, inclusive o FBI e a Interpol, assim como dezenas de megacorporações. Recentemente, a empresa anunciou que recebeu um investimento de mais de US$ 100 milhões.
O Snap funciona por meio de buscas de “entidades”: uma pessoa, um veículo ou uma empresa, por exemplo. A partir dali, a ferramenta cria conexões. É possível, também, fazer buscas de forma automatizada, como coletas periódicas em uma rede social.
“Cada sinapse, além de uma conexão na base, é a geração de uma inteligência específica”, explicou Wilson Cordeiro, consultor forense da Techbiz, que fez uma demonstração baseada em uma investigação real.
Na demonstração, Cordeiro encontrou redes sociais de um alvo a partir do número de telefone. Depois, cruzou dados e usou reconhecimento facial para comparar os perfis das fotos do WhatsApp e Telegram. Em segundos, com as imagens, a ferramenta encontrou as contas de Instagram e Facebook do alvo, e conexões que seguiam esses perfis.
A Maltego, ferramenta integrada ao Snap, também afirma que há uma integração com o Google. Segundo a empresa, o mecanismo de busca permite que o investigador consiga encontrar “pegadas digitais” – como interações e outros dados vinculados – deixadas por um alvo nas redes sociais e na internet.
Em poucos passos, é possível encontrar várias informações sobre determinados alvos – sites, redes sociais, e-mails e telefones pessoais e até mesmo a localização.
Perguntamos ao Google se havia algum tipo de acordo entre a empresa e a Techbiz ou Paterva/Maltego. Em nota, o Google respondeu que “o Mecanismo de Pesquisa Programável não oferece aos editores/parceiros quaisquer funcionalidades específicas ou extras como as descritas pela reportagem. Não temos qualquer acordo neste sentido com Techbiz ou Paterva (Maltego)”.
Sucesso de vendas fez preço do Snap inflacionar
Snap está se espalhando pelos órgãos públicos em ritmo acelerado. Em consulta aos Portais de Transparência dos estados e Ministérios Públicos estaduais, foi possível encontrar informações sobre 15 contratos da ferramenta – a maioria deles celebrados nos últimos dois anos.
Em setembro de 2020, a Secretaria da Fazenda de Minas Gerais adquiriu três Maltego ao valor unitário anual de R$ 22,5 mil, em processo de pregão eletrônico — modalidade de compra pública que permite a participação de outros concorrentes na licitação.
No ano seguinte, o mesmo órgão realizou novo processo de contratação, dessa vez por inexigibilidade de licitação — modalidade de compra direta sem abertura à concorrência. Quem levou foi a Techbiz, vendendo o Snap. O preço anual foi de R$ 70,4 mil.
Já em 2023, o Snap foi vendido aos Ministérios Público do Piauí, Roraima, Maranhão e Sergipe, além da Secretaria de Segurança Pública de Minas Gerais, pelo valor anual de R$ 110 mil a unidade — contratações feitas sem que houvesse concorrência, também por inexigibilidade de licitação.
Em 2022, a Secretaria de Estado de Administração Penitenciária do Rio de Janeiro pagou este mesmo valor anual pela ferramenta, e no final do ano passado, a Polícia Civil do Amazonas contratou o Snap já no valor anual de R$ 140 mil.
A Constituição determina que a administração pública deve contratar bens e serviços por meio de licitação. A contratação direta é exceção e deve ser justificada. Mas, com o Snap, a inexigibilidade de licitação foi a regra.
Órgãos estatais que adquiriram a ferramenta, em geral, justificaram a contratação direta da mesma forma: com base nas especificidades do software, como se ele fosse o único que pudesse atender às necessidades da instituição.
Também chama a atenção a contratação pelo Ministério Público do Amapá. O órgão recebeu R$ 544 mil do Ministério da Justiça e Segurança Pública para a compra de “software web intelligence” — coleta de informações relevantes às investigações na internet.
Há riscos na utilização da ferramenta para fins de vigilância e perseguição de atores políticos, por meio de perfilização.
Todo o valor foi gasto no Snap pelo Ministério Público do Amapá. Para chegar no montante, a Techbiz turbinou sua proposta com outros produtos ou acessórios. Foram quatro unidades de Snap por R$ 99 mil cada uma. E, para chegar ao valor final, acessórios: “Sinapses”, por R$ 54 mil; quatro unidades de “módulo de criptomoedas”, por R$ 64 mil; “SNAP voice”, por R$ 12 mil; e “SNAP Captcha”, por R$ 18 mil.
A aquisição foi aprovada pelo Ministério da Justiça e Segurança Pública em 2021, ainda no governo de Jair Bolsonaro. Perguntamos ao Ministério Público do Amapá sobre o processo de contratação, mas não obtivemos resposta.
Além dos vários contratos públicos, o Snap também é vendido para clientes privados. Encontramos um contrato da Techbiz firmado com a Fayal S/A, uma empresa de compra e venda de imóveis localizada em Belo Horizonte. Segundo o contrato, a imobiliária contratou a ferramenta por R$ 132 mil, ainda em 2020.
Em uma postagem no Linkedin, Ernandes Souza, supervisor regional de segurança empresarial do Grupo Heineken, falou sobre as funcionalidades do Snap e da integração da ferramenta com os softwares Maltego. Na discussão que segue na postagem, um funcionário da Techbiz falou ainda sobre as bases de dados que podem ser integradas, citando o Sinesp-Infoseg. Procurada, a Heineken afirmou que não utiliza o Snap ou quaisquer outras ferramentas comercializadas pela Techbiz.
Mandamos uma série de perguntas à Techbiz sobre o Snap, suas funcionalidades, contratos e os tipos de dados que a ferramenta consegue acessar de contas privadas em redes sociais. A empresa não respondeu aos nossos contatos.
Por meio da Lei de Acesso à Informação, perguntei à Secretaria de Fazenda de Minas Gerais se o Snap é utilizado para investigações criminais – apesar de essa não ser uma atribuição institucional do órgão. A secretaria alegou sigilo para não responder a pergunta.
Também fiz diversas perguntas à Polícia Civil de São Paulo. O órgão afirmou que cumpre rigorosamente as legislações de uso e proteção de dados e negou mais informações sobre o uso da ferramenta, “a fim de garantir a autonomia do trabalho policial”.
Para Pedro Amaral, pesquisador do Instituto de Pesquisa em Direito e Tecnologia do Recife, o IP.rec, a utilização de ferramentas OSINT por órgãos estatais “está ocorrendo sem um grau mínimo de regulação, inclusive com integração de bases públicas, privadas comerciais, como da Credilink, mas também de uso privado do governo”.
Apesar da Lei Geral de Proteção de Dados Pessoais não se aplicar às atividades de segurança pública e investigação criminal, a proteção de dados pessoais é um princípio constitucional. Para Amaral, estamos em um limbo legal: “não há nem a proteção de dados, nem a privacidade, tampouco algo que regule. Não existem muitos procedimentos nacionais específicos, ou se tem são muito fechados, daí a gente não sabe como funciona”.
Hacking a todo vapor
ATechbiz é hoje a maior fornecedora de sistemas de vigilância e hacking no país, segundo o estudo Mercadores da Insegurança, do IP.Rec. A maior fatia das cifras da empresa vem dos softwares de extração e análise de dados da empresa israelense Cellebrite, que já está disseminado na grande maioria das polícias e ministérios públicos estaduais, além de órgãos da esfera federal.
Recentemente, a Techbiz anunciou uma parceria para turbinar o Snap com inteligência artificial. A parceira é a empresa Voyager Labs, que já anunciou que poderia prever comportamentos criminosos com base na atividade das redes sociais e foi processada pelo Grupo Meta por utilizar milhares de contas falsas no Facebook e Instagram para coletar dados dos usuários.
“É o pulo do gato deles”, afirmou Avelino sobre a integração de inteligência artificial à ferramenta. Com a inteligência artificial integrada, é possível acelerar o processo de investigação, lapidando os resultados e gerando valor agregado à informação – inclusive resultados errôneos e enviesados.
“Ferramentas de OSINT têm uma capacidade imensa de tratamento de dados abertos. Como não há uma LGPD Penal, que garanta direitos dos cidadãos, há riscos na utilização da ferramenta para fins de vigilância e perseguição de atores políticos, por meio de perfilização”, afirmou Marcos César Pereira, cientista social e coautor do estudo Mercadores da Insegurança, do IP.rec.
Para ele, em conjunto com outros projetos, como o Excel, as OSINT conferem ao poder estatal níveis de conhecimento sobre cidadãos brasileiros ainda maiores. “Sobretudo diversos detalhes da nossa vida social publicados voluntariamente por nós em redes sociais, ainda que não tenhamos pensado em tal possibilidade ao realizar a publicação”, ponderou o pesquisador.
O outro lado do que acontece https://bit.ly/3Ye45TD
Nenhum comentário:
Postar um comentário