Venda de dados de eleitores – EUA e Venezuela

A polarização política, denúncias de fraude, dúvidas sobre a urna eletrônica e o processo de apuração, impulsionamento de conteúdo e notícias falsas são alguns dos exemplos de como as Eleições 2018 se tornaram as mais polêmicas desde a Constituição de 1988.

Nesse contexto eleitoral o nosso sistema de Monitoramento Avançado Persistente já registrou inúmeros casos de ataques cibernéticos no Brasil. Também já falamos sobre Manipulação de Votos e a Manipulação de Eleitores no processo eleitoral brasileiro de 2018.

Mas hoje vamos abordar algo diferente do que observamos na realidade brasileira: a comercialização de base de dados de eleitores o acesso a sistemas de votação. Para a saúde da nossa democracia os dados não são de eleitores brasileiros, mas dos Estados Unidos (EUA) e da Venezuela.

Estados Unidos

Em diferentes fóruns da deep e dark web foram observados – ao longo dos últimos 3 meses – anúncios de 29 bases de dados de eleitores dos EUA. Os dados seriam dos anos de 2013, 2015, 2017 e 2018 e se referem a 20 estados diferentes:

Os dados totalizam mais de 140 milhões de registros, como estados se repetem haveria uma relação de continência dos dados antigos em relação aos mais novos, isto é, presume-se que exista repetição de eleitores registrados em 2013 nos dados de 2018.

Se consideradas apenas as bases dos anos de 2017 e 2018 os dados corresponderiam a mais de 71 milhões de eleitores.

O conjunto de dados inclui as seguintes informações: Voter IDs, Full Names, Physical Addresses, Previous Addresses, Date of Birth, Genders, Voter Status.

A título de ilustração, no caso da Carolina do Norte há uma amostra dos dados, o arquivo de texto contém quase 9 mil registros disponibilizados no seguinte link: dropcanvas.com/06cj7/1.

Curiosamente o autor das publicações indica que os dados serão atualizados semanalmente, o que sugere que tem acesso aos dados por vias regulares ou algum outro estratagema.

Leak Eleitores – EUA

Vale destacar que nos EUA os dados dos eleitores registrados – o voto não é obrigatório e requer que cidadão se registre para votar – é considerado um dado público, ou seja, disponíveis a depender do preenchimento de requisitos para acesso em cada estado (p.ex. Florida).

All states allow access to voter registration records for political parties and candidates for elected offices. According to the National Conference of State Legislature’s February 2016 report on voter records and privacy, only eleven states do not share voter information with the general public and some states limit who can access the records.

Outra observação pertinente é a de que vários estados nos EUA permitem que o eleitor recuse a publicidade dos seus dados pessoais. Fato que agrava a divulgação desses dados em fóruns da deep e dark web.

Pela frequência das atualizações é possível que o acesso aos dados não seja por meio ataque cibernético contra comitês eleitorais nos estados, mas ações ofensivas contra entidades/pessoas que acessam os dados legitimamente para então revender os dados a terceiros em fóruns.

Ainda que sejam dados públicos, vale considerar que a revenda e/ou redistribuição dos mesmos para terceiros não está autorizada.

Além disso, como os dados contém personally identifiable information (aquele que permite a identificação de um indivíduo), podem ser combinados com outros dados (p.ex. social security number) para condução de ataques contra os próprios eleitores. Essa hipótese é alarmante, considerando a proximidade das eleições de mid-term nos EUA, que ocorrerão em novembro de 2018.

É possível também cogitar sobre o uso desses dados para criar transtornos aos próprios eleitores nos dias de votação.

Alguns estados tem sistemas on-line para alteração de dados do registro de eleitor, dentre eles, do local de votação. Um elemento malicioso poderia, de posse dos dados pessoais de eleitores cujo voto queira evitar, alterar a sessão de votação do eleitor. Desse modo, o eleitor se dirigiria no dia da votação ao local errado, pois teria sido alterado pelo elemento malicioso sem o seu conhecimento.

Por fim, o sistema de votação por colégio eleitoral nos EUA funciona na dinâmica o “vencedor leva tudo”. Com isso, interferências pontuais em sessões/condados extremamente disputados poderiam modificar o resultado da eleição no estado inteiro.

Venezuela

No caso da Venezuela os dados comercializados não tem uma amostra para download, contudo há um print de SQL que permite observar os campos da tabela “reg” e as colunas que correspondem aos dados disponíveis.

Leak Eleitores – Venezuela

O anúncio indica que a base de dados SQL tem 467MB de tamanho, o que permite inferir que os dados devem refletir se não todos, a ampla maioria dos eleitores (população dos país é de cerca de 30 milhões de habitantes).

Além da divulgação de dados pessoais dos seus eleitores, a Venezuela aparentemente teve seu sistema de votação remoto, utilizado pelas suas embaixadas, invadido por uma ação ofensiva. Os dados desse sistema, arquivos executáveis e credenciais também estão disponíveis para aquisição na deep e dark web.

Votação – Venezuela
Votação – Venezuela

As eleições na Venezuela são constantemente questionadas por grupos de oposição e por organizações internacionais. Os dados acima sugerem que de fato existe uma fragilidade no sistema de votação remoto daquele país.

É importante frisar, contudo, que as fraudes eleitorais que se suspeitam na Venezuela seriam realizadas pelo próprio governo venezuelano. Presume-se que ele já tenha acesso aos dados de eleitores – eis que é uma base de dados estatal – e ao sistema de votação remoto, pois gerido pelo seu ministério de relações exteriores.

Razão pela qual as informações acima são evidências de que a fraude na Venezuela pode ser praticada por outros atores também, não apenas pelo governo local.

Conclusão

Esses exemplos de comercialização de informação sobre eleitores nos EUA e Venezuela são evidências do interesse persistente do crime cibernético sobre o processo eleitoral.

A reputação nesses fóruns é feita pela própria comunidade, medida pela quantidade de anúncios e entregas de produtos e serviços. Ambos os autores dos anúncios nos fóruns tem excelente reputação, o que sugere se tratarem de atores envolvidos em múltiplos casos de venda/vazamento de dados que buscaram no processo eleitoral norte-americano e venezuelano uma forma de obtenção de lucro.

Isso indica que o processo eleitoral brasileiro também pode ser alvo de organizações criminosas nacionais e estrangeiras que busquem novas oportunidades de “negócio”.