Vazamento de dados na WADA: Quando má informação se torna desinformação

Todos os dias nos deparamos com boatos ou informações enviesadas que se espalham na Internet como um incêndio consumindo florestas. A analogia incendiária é feita pelo Fórum Econômico Mundial que, desde 2013, trata o tema como um risco para a economia global, denominando essa ameaça como Digital Wildfires.

O Documentário “The Thread” mostra como esse tipo de viralização pode ser prejudicial: usando a repercussão do atentado na maratona de Boston (2013) em duas threads do fórum Reddit como pano de fundo, o filme discute o papel da instantaneidade na troca de informações (boas e más) na Internet. Pois, enquanto uma thread buscava ajudar as vítimas, a outra focava em encontrar suspeitos por meio das fotos do evento. Por mais que muitos fossem bem-intencionados, as escolhas dos suspeitos eram geralmente pautadas por preconceitos raciais ou étnicos. Parte da mídia americana embarcou nessas histórias, o que atrapalhou a vida de inocentes acusados injustamente e a investigação policial.

O tema é tão importante que Walter Quattrociocchi, PHD, coordenador do Laboratório Ciências Sociais Computacionais do IMT de Lucca, na Itália, conseguiu comprovar - por meio vários estudos do comportamento de 2.3 milhões de indivíduos no Facebook - que lutar contra uma informação incorreta na Internet requer muito esforço, tornando a tarefa quase impossível. Isso porque, quando a história é bem contada, ela acaba interagindo com características psicológicas presentes em cada um de nós, as quais tendem a confirmar crenças preexistentes ao invés de admitir erros e aceitar fatos novos. Isso sem considerar os indivíduos que, por mais que não creiam na informação, a repassam para demonstrar o quanto ela está incorreta. Assim, a multiplicação ocorre tanto por bem como para o mal.

Entretanto, até aqui estamos tratando de informações incorretas que, por mais que tenham os seus vieses, não foram disseminadas de maneira maliciosa. Há casos em que a disseminação de informações tem o propósito de atacar ou lançar descrédito na atividade de uma pessoa ou instituição.

Trataremos aqui do vazamento de dezenas de documentos da entidade que controla globalmente o uso de doping nos esportes em um golpe com o objetivo de usar informações verdadeiras de modo a, no conjunto da obra, contar uma história falsa. Uma história cujos atores supostamente possuem um longo histórico de ataques que envolveram organizações ligadas à OTAN e outras entidades governamentais e políticas, tendo influenciado até na campanha presidencial americana. Mas para ligar esses pontos é preciso falar um pouco sobre o recente escândalo de doping na Rússia.

O escândalo de doping na Rússia

Em dezembro de 2014 o jornalista alemão Hajo Seppelt jogou uma bomba no colo da World Anti-Doping Agency (WADA). Em um documentário de uma hora, Seppelt descreve o funcionamento de um grande esquema de corrupção na Rússia, cujos tentáculos chegavam até o Ministério dos Esportes e o Serviço Secreto do país (FSB), os quais, por décadas, falsificaram resultados de testes anti-doping. A reportagem tinha como ponto central os depoimentos de Vitaly Stepanov, ex-funcionário da agência anti-doping russa (RUSADA), e de sua esposa, a atleta Yuliya Stepanova.

A WADA não pode alegar que não tinha conhecimento do esquema. Uma reportagem do New York Times relata que a agência recebeu alertas não só de Stepanov e sua esposa, mas de outros atletas russos se dispondo a cooperar com futuras de investigações, caso a entidade se movimentasse nesse sentido. Por anos nada aconteceu, mas quando o documentário de Seppelt desencadeou o escândalo, era necessário agir.

Onze meses após a veiculação do documentário de Seppelt, uma comissão independente contratada pela WADA publicou um extenso relatório contendo todos os detalhes da fraude russa. O documento contém cinco pontos chave: 1- uma cultura da trapaça profundamente enraizada na Rússia; 2- a exploração dos atletas do país; 3- a confirmação de que os atletas estavam trapaceando; 4 – a confirmação da participação de médicos, técnicos e equipes de laboratório e 5- evidências de corrupção e pagamentos de propina entre líderes de entidades ligadas ao esporte e políticos.

O processo resultou na suspensão, pelo Comitê Olímpico Internacional, de mais de cem representantes da Rússia nas Olimpíadas de 2016 e toda a delegação paraolímpica foi proibida de competir no Rio de Janeiro. Um episódio lamentável para o esporte e para o povo russo que em sua maioria se sentiu resignado com a decisão. Entretanto, as punições também geraram revolta e no começo de setembro um grupo autodenominado Fancy Bears entra na discussão, dizendo que havia invadido um sistema da WADA e iria expor os dados que encontrou.

Fancy Bears

Entender o Fancy Bears requer um retorno no tempo, pelo menos até 2014, quando as empresas FireEye e TrendMicro descobriram duas ameaças nomeadas como APT28 e Pawn Storm, respectivamente.

Ambas as empresas constataram que as ameaças possuíam alvos de interesse típico de um Estado-Nação, mais precisamente a Rússia: agências militares, sobretudo ligadas à OTAN, políticos de oposição ao atual regime de Vladimir Putin e uma relevante operação contra entidades governamentais da Geórgia - país da região do Cáucaso que já sofreu duros ataques cibernéticos como parte do esforço de guerra russo, no incidente que ficou conhecido como Guerra Russo-Georgiana de 2008.

Há também evidências de que o Pawn Storm teria atacado os investigadores envolvidos na apuração das misteriosas condições que levaram à queda do voo MH17. O incidente resultou na morte de 283 pessoas em 17 de julho de 2014 em uma região de conflito na Ucrânia, em que forças separatistas do país combatiam o exercito russo.

Em 28 de setembro deste ano os investigadores divulgaram um relatório concluindo que o avião foi derrubado por um míssil de fabricação russa. O governo Putin se defendeu considerando o documento como politicamente enviesado e dizendo que o modelo de míssil citado pelos investigadores não era mais fabricado pelo país na época do atentado. Buscando assim responsabilizar os separatistas, pois os dois lados usam armas de fabricação russa. Essa crise persiste até hoje.

A ligação entre Pawn Storm e APT28 se tornou evidente somente em junho de 2016, quando a CrowdStrike publicou um estudo com afirmações polêmicas. O post não somente ligava as duas ameaças a um único grupo chamado Fancy Bear (no singular), o qual também é conhecido por Sofacy e Tzar Team, mas também considera que sua atividade - associada a outro grupo chamado Cozy Bear – estaria diretamente relacionada ao ataque contra o Comitê do Partido Democrata americano (DNC) que foi, no mínimo, apoiado pelo governo russo, porque atendia diretamente aos seus interesses. Ou seja, segundo a empresa, Cozy Bear e Fancy Bear atacaram o DNC a serviço do Governo Putin.

Mas foi uma análise da ThreatConnect que comparou diversos detalhes, inclusive os endereços em uso nos ataques, e atestou que Fancy Bear e Fancy Bears (no plural) são o mesmo grupo que publicou os dados da WADA, expondo informações sobre a condição de saúde de diversos atletas, na tentativa de dizer ao mundo que todo o sistema de controle anti-doping é uma fraude.

Raízes da Controvérsia

Até o momento o Fancy Bears divulgou sete lotes de arquivos, compostos por três tipos de documentos: resultados de testes anti-doping feitos nas Olimpíadas do Rio de Janeiro, certificados de exceção para o uso de substâncias proibidas, chamados de Therapeutic Use Exemptions (TUE) e e-mails com tabelas em anexo. Segundo a WADA, os dados foram obtidos através de um ataque de spear phishing contra uma pessoa com acesso ao sistema ADAMS (Anti-Doping Administration and Management System), que concentra todas as atividades de controle do uso de substâncias. A conta de acesso atacada era específica para os jogos e isso justificaria o seu acesso a informações de todos os atletas. Os relatórios de testes anti-doping são documentos muito simples em que, nos casos de resultado positivo, é identificado o grupo de substâncias proibidas em uma determinada amostra. O nome do atleta não é listado nestes documentos, sendo que a informação primária dos testes é o código da amostra. O Fancy Bear teve que buscar dentro do ADAMS o vínculo entre a amostra e o atleta e eles encontraram isso em alguma tela do sistema, de modo que cada teste com resultado positivo possui um screenshot dessa área do sistema. Abaixo reproduzimos o resultado de um teste e o respectivo vínculo entre a amostra e o atleta.

Se a documentação dos testes é marcada pela simplicidade, os TUEs são mais complexos. Isso por conta do processo de emissão desses documentos e por informações importantes que neles são omitidas.

Quando não há transparência, sobra espaço para a imaginação e teorias conspiratórias.

A primeira e mais importante pergunta a ser respondida quando analisamos esses documentos é: um atleta pode participar de uma competição tendo substâncias proibidas em seu organismo? A resposta é sim. Desde que ele tenha passado por uma avaliação e possua um documento reconhecido pela WADA que o autorize a usar a substância: um TUE.

Mas em quais situações isso ocorre? É melhor responder essa pergunta com um exemplo: o ciclista britânico Bradley Wiggins (menciono o seu nome porque ele falou de sua condição médica ao The Guardian) possui um histórico de asma e alergia, sobretudo alergia a pólen. Ele precisa de um medicamento específico, proibido pela WADA, para competir em ambientes abertos e com muita vegetação. Seria correto proibir um ciclista de competir no Tour de France, somente porque ele tem uma alergia? É claro que não. Por isso Wiggins se submete a uma avaliação e obtém um TUE permitindo que ele esteja sob o efeito do medicamento durante a competição. Se o seu teste anti-doping acusar a substância ele apresenta o TUE e não é punido.

Os TUEs de dezenas de atletas vazados pelo Fancy Bears mostram que todos eles passaram pelo processo de requisição e avaliação das liberações. Há até um TUE que foi recusado por um grupo de médicos (imagem abaixo). Ou seja, o que pudemos notar nesse ataque é que o processo funciona, mas ainda assim fica claro que o documento e o processo poderiam ter controles melhores.

O primeiro problema é que o campo de diagnóstico - o que fundamenta a necessidade do uso da substância - está marcado como “confidencial” em todos os TUEs.

Ficamos sabendo da alergia de Bradley Wiggins antes de ele torná-la pública porque o especialista que redigiu seu TUE usou o campo de “comentário” do documento para dar informações sobre sua condição. Outros avaliadores usaram esse campo da mesma maneira, o que sugere que a edição do campo de diagnóstico é bloqueada por padrão no ADAMS.

Surgiram várias especulações sobre esse tema, forçando a WADA a criar um FAQ sobre diversos aspectos relacionados ao vazamento. Sobre o tema da confidencialidade, a entidade diz que as informações médicas fazem parte dos direitos humanos fundamentais, por isso não acumula esses dados, mas está estudando maneiras de ter algum tipo de informação que sinalize sobre o motivo do TUE.

Nesse aspecto, vale a pena considerar que o processo de requisição do TUE obriga que os avaliadores (federações esportivas e agencias anti-doping locais) tenham acesso ao histórico médico do atleta. Dessa maneira, se a WADA não armazena nada, ela acredita totalmente nos dados analisados por essas entidades. Isso explica porque a Rússia fraudou esse processo por tanto tempo e se caracteriza como um ponto de atenção importante para ajustar o processo.

Outro problema dos documentos é a recorrente ausência do nome da competição para a qual o atleta pede a liberação. Pois se o atleta pede permissão para usar substâncias proibidas para competir, é interessante que essa informação esteja descrita no documento.

Alguns TUEs possuem uma indicação do ano no campo da competição, combinando com o tempo para a expiração do documento. Podemos considerar que se tratam de casos em que o atleta precisa da medicação em caráter continuado. Corroborando com essa hipótese, outros contemplam longos tempos para expiração em que o especialista diz no campo de comentário que o atleta está em fase de redução do uso do medicamento.

Se a agência possui um rígido processo de avaliação e instruções detalhadas sobre como conceder um TUE, poderia ter previsto situações como essas em seu formulário, impedindo que as entidades preenchessem o documento com informações vagas ou simplesmente as deixassem em branco.

De maneira geral, com base no que foi divulgado até o momento, fica evidente que as normas da agência são bastante rígidas. Entretanto os documentos contam uma história de pequenos desvios, algo muito longe de uma conspiração internacional para fraudar o uso de doping, mas que podem ser resolvidos com auditorias periódicas e ajustes no processo e no sistema ADAMS.

Consequências

Podemos avaliar esse incidente por diversas perspectivas, mas talvez o melhor caminho seja o de considerar que essa é uma ótima oportunidade para a WADA não só melhorar seus processos e infraestrutura, mas também seus canais de transparência, pois todos queremos ver vencedores através do jogo limpo.

Sobre vencedores, talvez o Fancy Bears seja o que mais tenha se beneficiado com o ataque, isso porque conseguiram chamar a atenção global para si e puderam inventar um factoide usando informações verdadeiras. Um típico ataque de desinformação que está obrigando a agência a demandar um grandioso esforço para prestar esclarecimentos. Algo na maioria das vezes infrutífero quando falamos de Digital Wildfires, porém nobre.

Em 1859 C. H. Spurgeon disse que “Uma mentira dará a volta ao mundo, enquanto a verdade está colocando suas botas.” Essa frase nunca foi tão verdadeira quanto hoje.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.