Ao contrário do que dizem a declaração do Yahoo e a reportagem do New York Times, o programa de varredura da empresa, revelado pela Reuters no começo da semana, disponibilizava um backdoor personalizado para o serviço de e-mail da empresa, instalado de forma tão negligente que representava um risco à privacidade de milhões de usuários, de acordo com um ex-funcionário do Yahoo com conhecimento das práticas de segurança da empresa.

Embora haja diferentes versões circulando, não há divergências quanto aos seguintes pontos: Em 2015, o Yahoo disponibilizou ao governo dos EUA os meios necessários para varrer todo e qualquer e-mail que chegasse a todas as caixas de entrada do Yahoo Mail. A varredura foi mantida em sigilo absoluto — e de acordo com o testemunho de nossa fonte que trabalhava no Yahoo, nem mesmo os funcionários da equipe de segurança foram informados e, hoje, acreditam ter colocado em risco centenas de milhões de clientes desavisados.

O ex-funcionário, que trabalhou no Yahoo antes, durante e depois da instalação do programa de varredura de e-mails, pediu para não ter sua identidade revelada por conta de um acordo de confidencialidade assinado ao deixar a empresa, meses depois do programa ter sido descoberto internamente, há pouco mais de um ano. Nossa fonte se recusou a compartilhar certos nomes específicos por medo de violar seu acordo de confidencialidade e o de seus colegas, mas o The Intercept conseguiu confirmar as informações empregatícias da fonte no Yahoo, o que colocaria o ex-funcionário em condições de ter acesso a informações relevantes.

Os repórteres Charlie Savage e Nicole Perlroth, em artigo publicado no New York Times um dia depois da reportagem da Reuters, que menciona “dois agentes do governo que falaram de forma anônima”, descreveram a varredura de e-mails no Yahoo como uma simples modificação na técnica de varredura existente, implementada para detectar malware e pornografia infantil — algo comum em diversos outros serviços de e-mail e mensagens —, e não como uma ferramenta nova, desenvolvida especificamente para atender ao pedido de vigilância do governo. De acordo com a reportagem do NYT, o Yahoo simplesmente fez com que a varredura de pornografia e vírus investigasse apenas mais um detalhe (um tipo de “assinatura” relativa a um grupo terrorista ligado a um governo não identificado) durante o processo normal, em vez de ter desenvolvido uma varredura completamente nova, ou seja, a diferença existente entre um simples item acrescentado à sua lista de compras e uma outra visita ao supermercado. Ambas são varreduras em massa indiscriminadas com graves implicações em relação à Quarta Emenda da Constituição dos EUA (proteção contra buscas e apreensões arbitrárias), mas há distinções importantes a serem estabelecidas: De acordo com o ex-funcionário do Yahoo, uma simples “modificação dos filtros de e-mail [existentes] não teria levantado nossa suspeita… [a equipe de segurança] não teria conseguido detectá-la”. Muito pelo contrário, a equipe de segurança da empresa detectou “algo inédito, como se fosse algo que um hacker instalaria”. O que a equipe acreditou “ser, ou parecer, um rootkit”, um tipo de software instalado para permitir que terceiros tenham controle completo sobre um sistema de computadores sem serem detectados. Nesse caso, de acordo com nossa fonte que trabalhava no Yahoo, se tratava de um “programa sendo executado nos servidores que tinha acesso aos dados recebidos”.

Alex Stamos, o Ex-chefe de Segurança de Informações do Yahoo que, de acordo com a reportagem da Reuters, deixou a empresa após saber da cooperação com a ordem de varredura do governo dos EUA, parece ter se incomodado com a forma precária com que o mecanismo de varredura foi instalado. “Ele ficou especialmente ofendido por não ter sido comunicado da decisão”, contou o ex-funcionário do Yahoo. “O programa instalado para interceptação foi implementado de um jeito negligente, de forma que, se um hacker externo assumisse o controle dele, poderia ter lido basicamente os e-mail do Yahoo de todo mundo”, algo que nossa fonte atribui ao “fato de [o programa] ter sido instalado sem nenhuma revisão de segurança”.

A descoberta foi um choque para as pessoas que trabalham integralmente com a prevenção de algo desse gênero e, portanto, tomaram as mesmas medidas que tomariam em qualquer outro caso de descoberta de uma vulnerabilidade: registraram uma reclamação para que o problema fosse investigado e corrigido. A fonte do The Intercept explicou que “o protocolo padrão [a ser seguido pela] equipe de segurança é abrir um [caso de] problema de segurança e atribuí-lo à equipe responsável pelo componente, neste caso a [equipe] Mail, dizendo que isso precisa ser consertado dentro de 24-48 horas”, devido à gravidade do problema. “Naquele momento, [a equipe do Yahoo Mail] teria que ter explicado [a eles] por que não tinham consertado o problema, que ocorreu porque foi instalado por eles.” Mas nossa fonte contou que, após a equipe de segurança ter levantado suspeitas quanto a varredura de e-mail, ainda acreditando ter sido o trabalho de um hacker externo, e não de seus colegas, a reclamação desapareceu dos registros do Yahoo de forma repentina. “Eu procurei o caso e não consegui encontrá-lo”, contou o ex-funcionário da empresa. “Presumo que tenha sido apagado.”

Meses depois da instalação do programa, a equipe de segurança do Yahoo foi informada da verdade sobre o projeto de varredura. Porém, eles não podiam mais alterá-lo àquela altura — o que deixou alguns membros da equipe insatisfeitos. “Isso foi detectado a tempo de podermos aprimorar as coisas”, contou o ex-funcionário. “Eu fiquei muito chateado.”