Quando usar dados “hackeados” é um desafio ético

Existem terabytes de dados pirateados sobre empresas e instituições governamentais disponíveis para jornalistas, que grupos sem fins lucrativos de confiança já obtiveram e seleccionaram para verificação, protecção de fontes, privacidade e valor de interesse público. A utilização cuidadosa e responsável desta informação pode conduzir a revelações importantes de interesse público, no entanto, a ideia de utilizar dados roubados, mesmo quando verificados, levanta questões éticas fundamentais.
Num artigo publicado no Global Investigative Journalism Network, Rowan Philp aborda o desafio ético associado ao uso de dados "hackeados" no jornalismo de investigação.
“A história é suficientemente importante e difícil de provar para justificar a utilização de dados pirateados – e que pormenores sobre as suas origens devem os repórteres revelar às suas audiências?”, questiona Philip.
Para o autor, estas questões continuam a ser um desafio caso a caso, porque os hackers podem ter todo o tipo de motivos – nobres, partidários e criminosos. E tanto podem ser corajosos denunciantes como “hacktivistas” exilados que fazem ciberataques a instituições autocráticas e até extorsões de ransomware.
Numa sessão sobre “Trabalhar com Hackers”, na 13.ª Conferência Global de Jornalismo Investigativo (#GIJC23), três jornalistas de dados veteranos partilharam as suas ideias sobre como trabalhar com informações pirateadas e como lidar com fontes que usam ciberataques para as obter.
O painel incluiu Lorax Horne, editor da Distributed Denial of Secrets (DDoSecrets), Jan Strozyk, editor-chefe de dados do Organized Crime and Corruption Reporting Project (OCCRP), e Alena Prykhodzka, repórter bielorrussa exilada da Partisan Wave e colaboradora do grupo “hacktivista” Cyberpartisans.
O artigo destaca a importância de procurar guardiões de confiança para os conjuntos de dados pirateados, uma vez que estes podem conter perigos legais, de privacidade e de precisão.
“Estes dados podem não ter qualquer valor público, além de mexericos ou concorrência comercial. E estas fugas de informação podem, por vezes, conter desinformação, discursos de ódio ou indicações subtis que identificam o autor da fuga, colocando-o potencialmente em perigo”, relembra Philip.
O DDoSecrets e o arquivo Aleph do OCCRP são apresentados como exemplos de arquivos que fazem a curadoria e publicam informações de interesse público após verificações rigorosas.
Para utilização desta informação, a avaliação do valor de interesse público é considerada fundamental. Lorax Horne da DDoSecrets explica que a organização descarta dados que não têm tal valor.
O artigo destaca ainda casos específicos em que o uso responsável de dados pirateados levou a revelações importantes, como a exposição de membros da milícia de extrema-direita nos EUA.
No ano passado, uma fuga de informação pirateada publicada pela DDoSecrets revelou que muitos membros da milícia de extrema-direita Oath Keepers nos Estados Unidos eram também funcionários eleitos ou membros das forças armadas, e detalhou os totais de membros por estado americano.
Uma nova investigação colaborativa transfronteiriça sobre uma mudança acentuada nas rotas globais do tráfico de droga – NarcoFiles: The New Criminal Order – é um exemplo dos benefícios para o interesse público, dos riscos para a segurança e das ameaças criminais associadas à pirataria informática, tudo numa só história.
Philip também aborda o desafio de trabalhar com dados provenientes de hackers que procuram extorquir os visados e destaca directrizes éticas, como nunca pagar pelo uso desses dados e evitar ser usado como alavanca para futuros pedidos de resgate.
O autor destaca a importância de divulgar de forma proeminente ao público a origem dos dados utilizados.
“Enquanto procura novas fontes online, Strozyk diz que encontra frequentemente ligações para ficheiros de ransomware potencialmente noticiosos publicados em locais como a dark web”, detalha.
"Parte do meu trabalho é também ir à Internet e procurar conjuntos de dados com os quais os nossos repórteres possam estar interessados em trabalhar", explicou Strozyk. Mas encontrar estes dados não significa automaticamente que um jornalista os deva aceitar.
James Ball, administrador da Ethical Journalism Network (EJN) e antigo editor global do Bureau of Investigative Journalism, sublinhou que os jornalistas devem ter em conta os valores de interesse público em todas as fases do tratamento de documentos pirateados.
"Devemos sequer olhar para um conjunto de dados [pirateados]? Temos razões para acreditar que pode conter informações de interesse público? Devemos reavaliar – estará a corresponder ao que pensávamos? Será que é mais intrusivo do que pensámos?”, questionou Ball, apresentando exemplos das perguntas que as organizações noticiosas devem fazer quando consideram dados pirateados ou extorquidos.
"Portanto, não apenas como um complemento no final", acrescentou Ball. "Isso muitas vezes pode ser útil para prova no caso de queixas legais, mas muitas vezes é uma boa prática também."
Jan Strozyk referiu-se à fuga de informação de Edward Snowden, que utilizou grandes quantidades de dados partilhados ilicitamente com a Agência de Segurança Nacional dos EUA.
O The Guardian e o The Washington Post decidiram que o valor de interesse público da informação, que examinaram, superava os potenciais riscos legais, e que – porque tinha direito a aceder aos dados – Snowden era tecnicamente um denunciante e não um pirata informático.
"A distinção entre pirataria informática e fuga de informação nunca é clara", explicou Ball. "As leis da maioria dos países definem a pirataria informática (ou, pelo menos, o uso indevido de computadores) como o acesso a dados a que não se tem direito, ou o acesso para fins para os quais não se deve aceder."
Quando se trata de informações provenientes de maus actores, como hackers extorsionários, Ball defende que os meios de comunicação social devem divulgar de forma proeminente ao público a natureza de quaisquer dados de ransomware que usem, mas recomenda que a imprensa evite nomeá-los.
Esta abordagem "os fins justificam os meios" é uma realidade quotidiana para os grupos “hacktivistas” exilados em que os meios de comunicação independentes confiam.
Em última análise, Philip explora a complexidade ética destas situações, onde o interesse público muitas vezes justifica o risco ético associado ao uso de dados pirateados, especialmente em contextos em que jornalistas se encontram em situações de repressão e necessidade de recorrer a fontes não convencionais para expor questões de relevância pública.