União Europeia e Flórida seguem o exemplo do Reino Unido e também tentam impor a criação de backdoors. Após a tentativa fracassada do RU de exigir que a Apple fornecesse meios de contornar a criptografia de seus dispositivos, que resultou na decisão da empresa de retirar do mercado britânico o recurso Advanced Data Protection (ADP) – que habilita criptografia de ponta-a-ponta para os backups do iCloud –, a UE avançou no mesmo sentido com o “ProtectEU”. A proposta obriga apps de mensagens com mais de 45 milhões de usuários a oferecer “pontos de acesso” para as autoridades, sem detalhar mecanismos seguros de guarda das chaves. Já na Flórida, o projeto “Social Media Use by Minors” (SB 868/HB 743) exige que plataformas disponibilizem backdoors tanto para a polícia quanto para os pais de menores, além de proibir mensagens que se autodestroem em contas de crianças e adolescentes. A justificativa oficial é a proteção infantil, mas especialistas da Electronic Frontier Foundation (EFF) citados na matéria do TechRadar alertam que qualquer backdoor, mesmo voltado a “bons propósitos”, compromete irremediavelmente a segurança dos dados de todos os usuários, criando vulnerabilidades permanentes.
O 4Chan aparentemente foi alvo de um ataque hacker que vazou dados de moderadores, usuários e o código-fonte do site. Na madrugada do dia 14 para o dia 15, centenas de usuários relataram ter enfrentado dificuldades para acessar o fórum anônimo. Nas horas seguintes, prints de mensagens privadas de administradores começaram a circular em outras plataformas sociais, como o Discord e o Reddit, onde passou-se a atribuir os problemas a um ataque perpetrado por um hacker de um fórum rival. Segundo a reportagem da Época sobre o caso, antes de realizar o vazamento, ele infiltrou-se no 4Chan por mais de um ano, período em que obteve acesso ao backend do sistema, incluindo ferramentas de moderação, código-fonte, endereços IP e localização geográfica de usuários, e mensagens privadas. A administração do fórum não se pronunciou oficialmente até o momento. Vale lembrar que o 4Chan e seu irmão ainda mais medonho, o 8Chan, são apontados como epicentros de um ecossistema de comunicação extremista, sendo palcos da propagação de discursos de ódio e estando relacionados a ataques nos mundos on e offline.
A Comissão Europeia pretende apresentar uma proposta que irá diminuir a regulamentação do GDPR. A redução do Regulamento Geral sobre a Proteção de Dados (GDPR) é um foco fundamental para a presidente da Comissão, Ursula von der Leyen, como parte de uma tentativa de tornar as empresas europeias mais competitivas em relação à rivais dos Estados Unidos, China e outros países. Em vigor desde 2018 e considerado um marco na proteção da privacidade, o GDPR permanecerá com seus princípios fundamentais preservados, segundo a Comissão, enquanto as mudanças buscarão apenas simplificar processos administrativos e aliviar encargos sobre pequenas e médias empresas. No entanto, como destaca Ellen O’Regan em seu texto para o Politico, a reabertura do regulamento pode abrir espaço para pressões de grandes empresas de tecnologia, enfraquecendo proteções essenciais. A Comissão afirma que pretende facilitar a conformidade empresarial sem comprometer os direitos dos cidadãos europeus.
A Ubisoft exige conexão com a internet e coleta dados de jogadores mesmo em jogos single player sem interações online. A organização europeia NOYB apresentou uma queixa formal contra a empresa, afirmando que, para jogar títulos single player como Far Cry e Assassins Creed, os usuários são obrigados a se conectar à internet e fazer login em uma conta Ubisoft, permitindo o registro de informações como horários de início, término e duração das sessões. Uma análise identificou cerca de 150 conexões com servidores externos — como Google, Amazon e Datadog — em apenas 10 minutos de partida. Quando um usuário solicitou acesso aos dados coletados, recebeu informações vagas e foi redirecionado à política de privacidade da empresa, que justifica a prática como uma forma de aprimorar a experiência do jogador. Para a NOYB, a coleta viola o Artigo 6(1) do GDPR, já que não há base legal para processar dados em jogos que não dependem de conectividade. A organização pede que as autoridades de proteção de dados investiguem o caso e adotem medidas contra a Ubisoft.
* * *
MEMÓRIA.crypto
Em abril de 2016, foi lançada a autoridade certificadora Let’s Encrypt. O projeto buscou facilitar a adoção de criptografia forte e HTTPS na web de forma gratuita, garantindo que as conexões entre usuários e servidores fossem mais seguras e privadas. Antes da existência do Let’s Encrypt, apenas 40% dos sites usavam HTTPS. Com a iniciativa, esse número disparou: em 2020, mais de 80% dos endereços na web já utilizavam o protocolo. Hoje, o Let’s Encrypt é a maior autoridade certificadora do mundo, responsável por mais de 90% dos certificados TLS emitidos globalmente, com uma média de 3 milhões novas credenciais por dia.
* * *
Ferramenta desenvolvida para testes de segurança foi usada pela Abin para espionar o Paraguai. Em 2022, agentes da Agência Brasileira de Inteligência (Abin) utilizaram o Cobalt Strike — software originalmente criado para simular ataques cibernéticos em ambientes controlados — para invadir sistemas do governo paraguaio e obter informações estratégicas sobre as negociações da usina hidrelétrica de Itaipu. A operação foi conduzida por meio de servidores virtuais no Chile e no Panamá para ocultar a origem brasileira dos ataques. O Cobalt Strike permite a instalação de “beacons” – pequenos programas que estabelecem comunicação constante entre o sistema invadido e o invasor –, possibilitando o controle remoto, a movimentação lateral e a extração de dados sem ser detectado. O governo brasileiro reconheceu que a operação estava em andamento até março de 2023, já sob a gestão de Luiz Inácio Lula da Silva, mas nega ter iniciado ou autorizado a ação. O episódio causou tensão diplomática, levando o Paraguai a convocar o embaixador brasileiro e a suspender temporariamente as negociações sobre Itaipu. O caso segue sob investigação da Polícia Federal no âmbito do inquérito sobre a chamada “Abin paralela”.
O secretário de Defesa dos EUA está sendo investigado por compartilhar informações sigilosas sobre ataques aéreos em grupos do aplicativo Signal. A revelação mais recente indica que Pete Hegseth criou um grupo com sua esposa e seu irmão, onde divulgou detalhes sobre operações militares contra os houthis no Iêmen, embora ambos não ocupem cargos com acesso autorizado a informações classificadas. A esposa de Hegseth, Jennifer, apesar de não ter função oficial, vinha participando de reuniões no Pentágono e influenciando decisões estratégicas. Esse é, na verdade, o segundo capítulo do escândalo, que começou em março, quando se soube que Hegseth adicionou por engano o jornalista Jeffrey Goldberg, editor da The Atlantic, a outro grupo no Signal com altos membros do governo Trump, onde eram discutidos alvos e cronogramas dos ataques. A exposição de dados sensíveis a pessoas não autorizadas gerou forte reação entre aliados internacionais e levantou preocupações dentro do aparato de segurança dos EUA. Ainda assim, o presidente Trump minimizou os episódios, chamando-os de “glitch” e parte de uma “caça às bruxas”, indicando que não pretende afastar Hegseth do cargo.
O governo anunciou um projeto que permitirá que brasileiros “vendam” seus dados pessoais para empresas. A iniciativa é da Dataprev, em parceria com a DrumWave, startup estadunidense especializada na monetização de dados. A proposta prevê a criação de uma “carteira de dados”, onde os titulares poderão autorizar, de forma voluntária e revogável, o uso de informações como contratos de empréstimos consignados por empresas, recebendo uma remuneração em troca. A iniciativa foca na análise de tendências de mercado, não na identificação individual. Durante o Web Summit Rio, o presidente da Dataprev, Rodrigo Assumpção, e a representante da DrumWave, Brittany Kaiser (conhecida por seu envolvimento no escândalo da Cambridge Analytica), destacaram que o projeto ainda está em fase de estudos, sem valores definidos, mas com potencial para complementar a renda de cidadãos. O anúncio ocorre semanas após a Autoridade Nacional de Proteção de Dados (ANPD) proibir a empresa Tools for Humanity de coletar a biometria da íris de brasileiros em troca de criptomoedas, por considerar que tal prática violava as regras de consentimento da LGPD ao oferecer pagamento pela coleta de dados pessoais sensíveis.
***
Emprestando a chave
[Livro] Chasing Shadows: Cyber Espionage, Subversion, and the Global Fight for Democracy, Ronald J. Deibert.
Para aqueles que se interessam por estudos de vigilância e segurança digital, Chasing Shadows, do Professor Ronald J. Deibert, é uma leitura essencial. Recém-lançado, o livro revela como o Citizen Lab desvendou as atividades da NSO Group, uma das mais notórias empresas cibermercenárias do mundo. A obra também expõe o funcionamento de um ecossistema digital global opaco e mal regulado, onde tecnologias de espionagem são frequentemente usadas para restringir direitos humanos e liberdades fundamentais. Uma leitura urgente e relevante para entender os riscos da vigilância no século XXI.
– Mariana Canto, diretora do IP.rec
