O veredicto contra Sohaib Akhter, que foi considerado culpado de conspirar para apagar dezenas de bases de dados governamentais após ser demitido como contratista federal, volta a colocar no foco um problema recorrente, mas insuficientemente resolvido: o risco interno na nuvem onde se aloja informação sensível de agências públicas.
Segundo o comunicado do Departamento de Justiça e documentos judiciais relacionados ao caso, os irmãos Akhter tinham sido condenados antes por acessar sem autorização a sistemas do Departamento de Estado e, após cumprir sentença, foram readmitidos como contratados por uma empresa que servia a mais de 45 agências. Pouco depois da sua demissão, numa janela de horas teriam apagado cerca de 96 bases de dados, incluindo processos de pesquisa e registros FOIA, além de tentar eliminar provas e perguntar a um assistente de inteligência artificial como limpar logs do sistema.
Além do escândalo individual, este episódio evidencia três falhas sistêmicas: uma gestão de acesso e revogação incompleta, controles insuficientes sobre ambientes multiagência em fornecedores privados e uma subestimação do papel de ferramentas automatizadas (incluindo a IA) como vetor de apoio para atores maliciosos. A combinação de privilégios excessivos e uma revogação lenta ou parcial é a causa raiz neste tipo de incidentes.
O fato de os atacantes poderem "write-protect" bases de dados, executar a remoção maciça e destruir evidências sugere fraquezas na segregação de funções, no controle de contas privilegiadas e na resiliência das cópias de segurança. Um projeto de segurança que depende apenas de perímetros ou da boa fé do pessoal não resiste ataques internos deliberados.
Também alarme a menção à consulta de uma IA para apagar registos: esta linha do caso mostra que as tecnologias emergentes podem acelerar e facilitar técnicas de evasão se não forem combinadas com políticas e supervisão robustas. As equipas de segurança devem assumir que os intervenientes com conhecimentos irão aceder a recursos de automação e planear em conformidade.
Para reduzir a probabilidade e o impacto de incidentes semelhantes, as organizações devem implementar controlos técnicos e processuais: revogação imediata e verificada de credenciais no termo da relação laboral, privilégios mínimos, gestão centralizada de acessos privilegiados, registos imutávels (append-only), testes regulares de restauração de cópias fora de linha e segregação de ambientes por cliente. Esses princípios estão alinhados com recomendações de agências especializadas como CISA e normas de segurança pública; ver guias práticas em CISA sobre ameaças internas e na literatura técnica de NIST para controles de acesso e auditoria.
No âmbito contratual e de governação, os governos devem rever critérios de recontratação após condenações por crimes cibernéticos, exigir verificações periódicas contínuas e cláusulas que permitam respostas imediatas aos riscos detectados. Além disso, os prestadores de dados federais precisam de planos de resposta a incidentes comprovados e auditorias independentes com acesso a registos forenses inalteráveis.
Para responsáveis pela TI e segurança em empresas e agências, a recomendação prática é priorizar exercícios de mesa e simulacros de eliminação maciça de dados, validar a eficácia das restaurações desde backups fora de linha e automatizar a revogação de acessos ao detectar eventos de terminação de emprego. O investimento em detecção precoce e recuperação é mais barato do que a perda irreversível de evidência ou a perda de confiança pública.
Finalmente, o caso deixará consequências legais e contratuais significativas: enfrentam longas penas e as investigações reforçarão a necessidade de controlos regulamentares mais rigorosos sobre subcontratantes que gerem dados sensíveis. Para cidadãos e decisores políticos, a lição é clara: a segurança em ambientes partilhados não pode delegar-se totalmente a fornecedores sem exigir transparência, auditoria contínua e garantias técnicas de integridade e disponibilidade.
Para ler os documentos do processo judicial, incluindo a acusação formal, consulte o processo disponível DocumentCloud e o comunicado oficial do Departamento de Justiça citado acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...