O Departamento de Justiça dos EUA (DOJ) não processará hackers de boa fé ou pesquisas de segurança, disse a agência na quinta-feira. Isso se aplica a indivíduos que podem ter infringido a Lei de Fraude e Abuso de Computadores (CFAA) ao agir de “boa fé”.
A política anterior do DOJ sobre hacking ético ou pesquisa de segurança de boa-fé era bastante ampla
A amplitude da CFAA já esteve sob escrutínio de várias organizações. O grupo de direitos digitais sem fins lucrativos Electronic Frontier Foundation (EFF) tem falado sobre os antigos regulamentos.
“A pesquisa de segurança de computadores é um fator-chave para melhorar a segurança cibernética”, disse a vice-procuradora-geral Lisa O. Monaco em um comunicado (via Motherboard). “O departamento nunca se interessou em processar a pesquisa de segurança de computadores de boa fé como um crime, e o anúncio de hoje promove a segurança cibernética, fornecendo clareza para pesquisadores de segurança de boa fé que erradicam vulnerabilidades para o bem comum.”
Anteriormente, a CFAA apresentava riscos para pesquisadores que invadiam sistemas para expor quaisquer vulnerabilidades. A mudança de política efetivamente significa que os pesquisadores não serão mais cobrados por tais práticas.
“Estamos satisfeitos em ver o Departamento de Justiça reconhecer a contribuição que a pesquisa de segurança desempenha no fortalecimento da segurança de toda a Internet, desde mensagens e aplicativos de mídia social a sistemas financeiros e infraestrutura crítica”, Andrew Crocker, advogado sênior da EFF disse a placa-mãe.
Crocker acredita que a nova mudança de política deve fazer mais. “Ao isentar a pesquisa conduzida ‘exclusivamente’ em ‘boa fé’, a política põe em questão o trabalho que serve tanto a objetivos de segurança quanto a outros motivos, como o desejo de um pesquisador de ser recompensado ou reconhecido por sua contribuição”, disse ele.
Embora a pesquisa de boa fé não atraia mais escrutínio, o DOJ forneceu um cenário em que os indivíduos poderiam continuar a enfrentar acusações. “Descobrir vulnerabilidades em dispositivos para extorquir seus donos, mesmo que alegado como ‘pesquisa’, não é de boa fé”, disse a agência.
A nova política se aplica apenas aos promotores federais e não restringirá as agências estaduais de apresentar acusações contra pesquisadores. Mas, como observado, poderia fornecer mais clareza e contexto aos tribunais durante futuros casos de hackers éticos.
O Departamento de Justiça montou uma equipe para investigar crimes de criptomoedas no ano passado
Em outubro de 2021, o DOJ instituiu uma equipe de investigadores conhecida como National Cryptocurrency Enforcement Team (NCET) para explorar crimes de criptomoedas. O NCET analisa a lavagem de dinheiro e outros crimes financeiros facilitados pelas trocas de moeda virtual. Essa equipe também analisará casos de extorsão de ransomware.
