Atores de ameaças estrangeiros podem facilmente obter informações confidenciais sobre militares dos EUA através de corretores de dados, de acordo com um novo estudo da Duke University cujos resultados foram publicados na segunda-feira.
Os corretores de dados coletam e agregam informações e depois as vendem, licenciam ou compartilham, diretamente ou por meio de serviços que aproveitam os dados. Os corretores de dados incluem agências de relatórios de crédito, como Equifax e Experian, empresas de marketing, como Acxiom, e empresas de análise de dados e avaliação de risco, como Verisk. Outro grande interveniente neste espaço são as aplicações móveis que recolhem e vendem as informações dos seus utilizadores a terceiros, muitas vezes sem o conhecimento ou consentimento dos utilizadores.
Os corretores de dados coletam e vendem uma ampla gama de informações, incluindo nome, dados demográficos, preferências políticas, detalhes de estilo de vida, endereço residencial e de e-mail, localização GPS, situação financeira e informações de saúde.
Esse tipo de informação pode ser muito útil para os agentes de ameaças, inclusive para fraudes, chantagem, criação de perfis, danos à reputação e perseguição. No caso dos militares, a exposição destes dados pode representar um risco para a segurança nacional.
Embora alguns corretores de dados tomem medidas para garantir que esse tipo de dados não caia em mãos erradas, o estudo conduzido por pesquisadores da Duke University descobriu que, em muitos casos, é fácil e barato adquirir informações de militares e veteranos, com alguns corretores que anunciam especificamente esses dados.
Os pesquisadores da Duke contataram uma dúzia de corretores nos EUA para adquirir informações sobre militares e veteranos. Eles descobriram que os métodos utilizados pelos corretores para verificar a identidade dos clientes são inconsistentes e observaram que estas práticas são altamente não regulamentadas pelo governo dos EUA.
Embora alguns corretores se recusassem a vender os dados a uma organização não verificada, outros pareciam mais interessados em garantir a confidencialidade em torno da compra dos dados, e não a confidencialidade dos dados reais.
Os pesquisadores conseguiram adquirir informações confidenciais por apenas US$ 0,12 por registro ao comprar milhares de registros, e o preço pode chegar a US$ 0,01 por indivíduo para compras maiores.
Os pesquisadores tentaram comprar dados usando um domínio dos EUA e um .Ásia nome de domínio que foi vinculado a um endereço IP de Cingapura.
Mesmo quando o domínio .asia foi usado, vários corretores concordaram em fornecer milhares de registros, incluindo dados geocercados para locais estratégicos como Washington DC, Fort Bragg na Carolina do Norte e Fort AP Hill e Quantico na Virgínia.
“Os governos estrangeiros têm historicamente procurado dados sobre pessoas e organizações americanas para espionagem, interferência eleitoral e outros fins. Seu interesse nas forças armadas dos EUA, em particular, é alto, e eles poderiam obter esses dados por meio do ecossistema de corretagem de dados, seja comprando-os legalmente ou invadindo bancos de dados de corretores ou de seus clientes”, escreveram os pesquisadores em seu relatório. relatório.
Os investigadores recomendaram que os legisladores aprovassem uma lei de privacidade abrangente com fortes controlos sobre o ecossistema de corretagem de dados, sendo o Congresso aconselhado a fornecer mais financiamento às agências reguladoras que possam aplicar novas políticas.
Ademais, o Departamento de Defesa deve realizar uma avaliação interna do fluxo de dados contratuais, que pode ajudar a restringir a exposição de informações militares sensíveis a corretores de dados.