Robert Monster, o administrador do provedor Epik, confirmou durante um streaming de três horas no YouTube que seus servidores tiveram os dados vazados pelo Anonymous. O grupo hacktivista havia anunciado na semana passada que vazou uma base de dados de 180 GB de usuários de sites e aplicativos do serviço, que era conhecido por hospedar páginas de extrema-direita e apps como o Parler.
O discurso contraria o pronunciamento anterior, em que um representante da Epik alega que não estavam cientes de nenhuma invasão, e de que levavam a segurança dos dados dos clientes a sério. Na transmissão, Monster reconheceu que houve um “vazamento de dados que não deveriam ter sido vazados” e implorou que esses dados não fossem usados para fins “negativos”.
“Se você possui uma intenção negativa para usar estes dados, isso não vai dar certo para você”, disse Monster. “Se o demônio diz para você fazer isso, o demônio não é seu amigo”.
Até então, o provedor era alvo de inúmeras críticas por parte de grupos anti-extremismo, já que hospedava abertamente conteúdos utilizados em atentados, como o de Christchurch. O serviço ainda surfava na polêmica ao dizer que seus arquivos eram “efetivamente incensuráveis”, defendendo que empresas como Facebook, Twitter e Amazon foram longe demais no controle da internet.
Segurança da Epik era motivo de piada, afirmam especialistas
Para os especialistas em segurança digital, a Epik foi longe demais na falta de cuidado com as informações, já que dados vazados pelo Anonymous estavam em fácil acesso. Os arquivos, que continham anos de relatórios financeiros, emails internos e credenciais dos administradores dos maiores sites de extrema-direita, não estavam protegidos sequer por criptografia de rotina.
Para se ter ideia, a brecha também expôs os dados pessoais do serviço exclusivo da Epik, o Anonymize. O programa era responsável por mascarar todos os rastros digitais e identidade do assinante. E agora, estes dados também fazem parte dos 150 GB vazados.
Segundo David Vladek, ex-líder da FTC (a agência de proteção ao consumidor dos Estados Unidos), o descompromisso do provedor com os dados era digno de processo. “Dadas as alegações da Epik sobre segurança, e o seu escopo de hospedagem na web, eu diria que ela compôe um caso para a FTC, especialmente se ela foi avisada mas não tomou atitudes”, afirma.
Dados vazados pelo Anonymous apontam atacantes do Capitólio
Um dos destaques já apurados nos dados vazados pelo Anonymous são de que a Epik hospedava inúmeros endereços associados ao grupo de extrema-direita Proud Boys, envolvidos nos ataques ao Capitólio no dia 6 de janeiro deste ano. O ativista político conservador Ali Alexander, figura-chave na disseminação de notícias falsas sobre as eleições de 2020 nos Estados Unidos, tentou apagar mais de 100 domínios registrados no servidor.
Além disso, uma conta no Twitter, @epikfailsnippet, que posta informações não verificadas sobre os vazamentos, postou uma thread de informações sobre os administradores dos Proud Boys. Um dos líderes de um fórum do grupo era funcionário da Drexel University. A universidade avisou que o integrante não fazia mais parte do quadro de efetivo da instituição desde 2020.