Vários documentos federais dos EUA e de entidades reguladoras russas confirmam que a ArcSight, a McAfee, a Micro Focus, a SAP e a Symantec permitiram que os serviços secretos e as forças de segurança lideradas por Moscovo fizessem uma análise detalhada aos códigos-fonte de várias plataformas e produtos de software em busca de potenciais vulnerabilidades. As análises poderão ter sido feitas como requisito legal e de segurança das autoridades russas, mas também podem ter sido aproveitadas para descobrir potenciais vulnerabilidades em agências governamentais dos EUA – e de todos os países que, eventualmente, tenham estas ferramentas em uso. De acordo com a Reuters, que revela esta fuga de informação, as empresas em causa já puseram fim à política de acesso aos códigos-fonte.
A Reuters refere que desde 2012 que há registo de disponibilização dos códigos-fonte a autoridades russas. Pentágono, NASA, Governo Federal, FBI, Administração da Segurança Social, Departamento de Segurança Nacional, Agências de Serviços Secretos, Departamento de Estado (o equivalente ao ministério dos Negócios Estrangeiros) figuram na lista de entidades norte-americanas que usam ferramentas de software produzidas por este primeiro grupo de marcas que permitiram às autoridades russas a inspeção do código-fonte. As inspeções dos códigos-fonte foram levadas a cabo pelo Serviço Federal de Segurança da Rússia (FSB; a sucessora do KGB no que toca à espionagem e ameaças de segurança), os Serviços Federais para o Controlo Técnico de Exportações e ainda o braço tecnológico dos serviços de contraespionagem do Ministério dos Negócios Estrangeiros Russo.
Em dezembro, o Pentágono já havia alertado, numa carta informal, a senadora do Partido Democrata Jeanne Shaheen para o risco inerente à revelação dos códigos-fonte de plataformas de segurança eletrónica ou de software de gestão que agrega dados considerados “sensíveis”. «Pode levar a China e a Rússia a descobrir vulnerabilidades nesses produtos», terá informado a carta que o Pentágono encaminhou para a senadora.
A senadora democrata recorda ainda que a ameaça pode ir além das simples manobras de espionagem. «Receio que o acesso às nossas infraestruturas de segurança – independentemente de ser coberto a a descoberto – pelos nossos adversários já tenha permitido abrir portas a vulnerabilidades que poderão ser aproveitadas para gerar danos», refere Jeanne Shaheen, citada pela Reuters.
McAfee, SAP, Symantec, Micro Focus e a ArcSight (que pertencia a HP) confirmam ter revelado o código-fonte às autoridades russas, mas garantem que o acesso foi feito sob a respetiva supervisão das produtoras de software e não foi disponibilizada qualquer ferramenta que permitisse a alteração desses códigos.
No Comité do Congresso dos EUA que assume a pasta da ciência e das tecnologias já começou a ser aventada a hipótese de obrigar todas as tecnológicas a informarem as autoridades dos EUA sobre as práticas relacionadas com a disponibilização de códigos fonte a autoridades estrangeiras.
