Um grande número de ministros e funcionários públicos do governo britânico foram avisados de que são vulneráveis a hackers depois de as suas informações pessoais terem sido colocadas online e permanecerem visíveis durante meses.
A informação pessoal para mais de 45.000 funcionários públicos esteve disponível até Março de 2020 através do website do Serviço de Comunicação do Governo (GCS). A informação incluía nomes, endereços de e-mail, números de telefone e títulos de emprego, bem como ligações a perfis de meios de comunicação social, incluindo Twitter e LinkedIn. A informação foi retirada em Março de 2020 devido ao trabalho no sítio, embora o jornal The Times noticiasse que uma mensagem no sítio dizia que a informação estaria “de volta em breve”.
Foram manifestadas preocupações quanto ao potencial de utilização da informação por actores maliciosos. Num entrevista com Os temposRichard De Vere, perito em segurança cibernética, explicou que esta informação tornava os funcionários do governo “principais para ataques de engenharia social”. Quando inquirido por Cyber Security Hub75% dos peritos em cibersegurança disseram que os ataques de engenharia social eram a ameaça “mais perigosa” à cibersegurança, tanto para eles como para as suas empresas.
De Vere explicou que os próprios ministros podiam enfrentar ataques de phishing, pondo potencialmente em risco os seus dispositivos e dados. De Vere observou também que os próprios actores maliciosos podiam fazer-se passar por funcionários governamentais, utilizando o seu número oficial de telemóvel e tentando cometer ataques de engenharia social mais sofisticados.
Os hackers podem tentar fazer isto, quer utilizando técnicas de spoofing que lhes permitam enviar mensagens de texto e telefonar a outros usando um número de telefone oficialmente registado (ou seja, o número de telefone indicado para um ministro na base de dados GCS), ou criando um endereço de correio electrónico muito semelhante ao de um funcionário público e confiando no destinatário para não verificar suficientemente o remetente antes de responder.
Infelizmente, esta não é a primeira vez que os esforços de segurança cibernética do governo do Reino Unido são postos em causa.
O telefone da ex-Primeira-Ministra Liz Truss foi pirateado
Em finais de Outubro de 2022, pouco depois de se demitir do seu cargo de Primeiro-Ministro, foi revelado que o telefone pessoal de Liz Truss tinha sido pirateado enquanto ela era Secretária dos Negócios Estrangeiros.
O Correio ao Domingo relatou que o hack tinha sido descoberto no Verão de 2022, pois Truss estava a fazer campanha pela liderança do partido Conservador mas foi propositadamente escondido pelo então Primeiro Ministro Boris Johnson e outros membros do partido.
O Correio também relatou que quase toda a informação sobre o telefone da Truss tinha sido acedida durante o hack, incluindo até um ano de mensagens. Estas mensagens incluíam correspondências pessoais entre Truss e os seus parceiros internacionais, bem como conversas privadas entre Truss e Kwasi Kwarteng, que continuariam a servir como chanceler no seu governo. Estas mensagens alegadamente continham informações confidenciais, incluindo discussões sobre a guerra na Ucrânia.
O jornal tablóide também afirmou que o seu telemóvel pessoal tinha sido “pirateado por agentes suspeitos de trabalhar para o Kremlin”, embora a forma como o hack aconteceu não tenha sido explicada.
O Correio ao Domingo também alegou que o telefone da Truss estava “tão comprometido” que “tinha de ser colocado num cofre fechado dentro de uma instalação governamental segura”. O jornal alegou ter fontes para toda a informação relatada no artigo, embora nenhuma fonte tenha sido oficialmente nomeada.
Quando a notícia do hack rebentou, um porta-voz do governo do Reino Unido recusou-se a comentar “as disposições de segurança dos indivíduos” mas disse que existiam “sistemas robustos para proteger contra as ameaças cibernéticas”. O porta-voz afirmou também que os ministros do governo são frequentemente informados sobre as medidas de segurança cibernética e aconselhados sobre a forma de proteger os seus dispositivos e dados pessoais.
A Secretária da Sombra do Interior, Yvette Cooper, falou com Notícias do Céu sobre o hack, dizendo: “É por isso que a cibersegurança tem de ser levada tão a sério por todos os governos, o papel dos estados hostis…mas [it] também [raises questions] sobre se um ministro de gabinete tem estado a utilizar um telefone pessoal para assuntos governamentais sérios e perguntas sérias sobre a razão pela qual esta informação ou esta história tem sido divulgada ou informada neste momento”.
Houve chamadas para investigar o hack depois de ter sido revelado, embora até ao momento em que foi escrito, nenhuma investigação formal tenha sido lançada.
Número de telefone do ex-Primeiro Ministro Boris Johnsons disponível online há mais de uma década
Em Abril de 2021, foi revelado que o número de telefone pessoal do então Primeiro-Ministro Boris Johnson tinha estado livremente disponível em linha durante os últimos 15 anos.
O número de telefone foi escrito no fundo de um grupo de reflexão divulgado e publicado em 2006 e nunca foi apagado. O mesmo número parecia ser o que Johnson utilizava para correspondência pessoal.
Foi relatado pelo BBC em Abril de 2021 que o dispositivo ligado a este número “parecia estar desligado” e notou que Downing Street ainda não tinha confirmado se o número seria alterado.
Na sequência da notícia da ruptura da edição, os funcionários de Downing Street negaram que Johnson tivesse sido instado a mudar o seu número de telemóvel por altos funcionários.
O líder trabalhista Keir Starmer criticou a Johnson, dizendo que esta não era apenas uma “situação grave [that] acarreta um risco para a segurança”, mas que realçava questões sérias sobre o acesso privilegiado a funcionários do governo e “aqueles que podem o WhatsApp ao primeiro-ministro por favores”.
“Há também sérias questões de segurança em torno do porquê e como esta informação foi vazada ou divulgada neste momento, que também devem ser urgentemente investigadas”, disse Starmer.
O então Chanceler do Tesouro e agora Primeiro-Ministro Rishi Sunak defendeu Johnson, dizendo que, tanto quanto ele sabia, todos os protocolos de segurança relativos ao telefone pessoal de Johnson tinham sido seguidos. Ele disse que a natureza “incrivelmente acessível” de Johnson foi o que o tornou “especial” como Primeiro-Ministro, e admitiu que não tinha alterado o seu número de telefone pessoal desde a sua nomeação como Chanceler do Tesouro em Fevereiro de 2020.