Dia: 5 de setembro de 2024

Publicado em por Deixe um comentário

VAZAMENTO DE DADOS: COMO HACKERS ROUBARAM 2,7 BILHÕES DE REGISTROS PESSOAIS

Em agosto, uma das principais notícias de cibersegurança nos Estados Unidos destacou um vazamento massivo de 2,7 bilhões de números de segurança social, equivalente ao CPF no Brasil, reivindicado por um grupo cibercriminoso chamado USDoD. Conhecido por ataques globais a empresas, esse grupo agora está no centro de uma investigação que aponta um possível líder, supostamente residente no Brasil. Segundo um relatório da empresa de segurança CrowdStrike, o indivíduo em questão teria um histórico de hackativismo e envolvimento com crimes cibernéticos complexos.

O grupo USDoD emergiu nos últimos meses, sendo associado a invasões de várias organizações, incluindo grandes empresas de tecnologia e agências governamentais. Além de comprometer dados de funcionários e clientes de entidades como a Airbus e a TransUnion, o grupo também afirmou ter acesso a informações de empresas de defesa dos Estados Unidos. No ataque mais recente, um conjunto de dados de 277 GB foi roubado de uma empresa norte-americana, totalizando quase 3 bilhões de registros pessoais, oferecidos posteriormente à venda por milhões de dólares.

A investigação da CrowdStrike revelou que o líder do grupo USDoD tem um passado que combina atividades hacktivistas e cibercriminosas, com envolvimento em fóruns especializados desde 2017. A conexão foi feita por meio de um conjunto de informações digitais rastreadas ao longo de anos, como emails usados para registrar domínios e contas em redes sociais. Essa atividade tornou a identificação do suspeito mais acessível, especialmente devido ao uso recorrente de ferramentas e perfis com descrições semelhantes.

O relatório ainda destaca a vaidade comum entre cibercriminosos que atacam grandes corporações. Esse traço ficou evidente nas declarações feitas pelo líder do USDoD em entrevistas para veículos especializados em crimes cibernéticos, o que acabou contribuindo para sua exposição. O grupo, assim como outros de destaque, utilizou técnicas de ransomware para sequestrar dados sensíveis e extorquir vítimas, seja por meio da venda ou da ameaça de divulgação pública.

Embora a CrowdStrike tenha entregue as informações coletadas às autoridades competentes, a empresa avalia que a revelação da identidade do líder pode não ser suficiente para deter suas atividades. O desejo por reconhecimento em comunidades hacktivistas e cibercriminosas parece ser uma motivação constante, e as negações ou tentativas de desviar a atenção são estratégias já previstas por especialistas da área.

A importância de uma abordagem integrada de cibersegurança é evidente, com as empresas precisando estar preparadas para lidar não apenas com os aspectos técnicos dos ataques, mas também com a complexidade das motivações humanas por trás desses crimes. Em um cenário cada vez mais conectado, a proteção de dados e a resposta rápida a incidentes são essenciais para mitigar os danos causados por grupos como o USDoD.

Publicado em por Deixe um comentário

COMO PROTEGER CRIANÇAS E ADOLESCENTES NA INTERNET?

Nos últimos anos, a proteção de crianças e adolescentes no ambiente digital tem ganhado cada vez mais atenção, à medida que o uso da internet se torna parte fundamental da vida dos jovens. No Brasil, de acordo com a pesquisa TIC Kids Online 2023, 95% dos jovens entre 9 e 17 anos utilizam a internet regularmente, o que intensifica as preocupações sobre a segurança dessa faixa etária em um cenário digital repleto de riscos. Entre os temas mais sensíveis estão os casos de exploração comercial e a exposição a conteúdos impróprios, que frequentemente ganham repercussão na mídia.

Um exemplo recente é a denúncia feita pelo Instituto Alana contra o Instagram, operado pela Meta, junto ao Ministério Público de São Paulo. O caso, de junho deste ano, envolve influenciadores digitais mirins promovendo casas de apostas, incluindo cassinos online, como o “Fortune Tiger”, sem qualquer controle adequado. A Alana identificou cerca de 50 stories de perfis de crianças e adolescentes divulgando tais conteúdos. Embora tenha reportado a violação à plataforma, a resposta da Meta foi insatisfatória. Segundo a organização, o Instagram não dispõe de um mecanismo adequado para denúncias desse tipo de publicidade ilegal.

Além disso, o processo de denúncia teve que ser feito por meio de categorias que não refletem a gravidade do problema, como “Golpe ou Fraude”. A plataforma chegou a afirmar que os anúncios de cassinos não infringiam suas políticas, uma postura que levanta sérios questionamentos. As “Diretrizes de Comunidade” do Instagram exigem conformidade legal para a promoção de produtos regulamentados, como apostas e jogos de azar, os quais requerem, em teoria, aprovação expressa da plataforma. Dessa forma, dois cenários se apresentam: ou a Meta falhou em seguir suas próprias regras, ou permitiu conscientemente que influenciadores mirins fizessem publicidade de jogos de azar, em clara contrariedade às leis brasileiras.

Essa prática abusiva de publicidade digital feita por casas de apostas é apenas um exemplo de um problema mais amplo. Diversos estudos indicam que o ambiente digital apresenta sérios desafios para a saúde mental e o desenvolvimento social de crianças e adolescentes, como o excesso de tempo de tela, a hiperexposição nas redes e a substituição de experiências físicas por atividades online. Esses temas vêm sendo debatidos por especialistas de diversas áreas, incluindo psicologia, direito, e neurociência, o que mostra a complexidade da questão.

No Brasil, em resposta a esse cenário, o Conselho Nacional dos Direitos da Criança e do Adolescente (Conanda) aprovou, em maio deste ano, a Resolução 245, um marco para a proteção dos direitos de crianças e adolescentes na internet. Essa normativa estabelece princípios fundamentais para garantir a segurança desse público no ambiente digital, reforçando direitos como liberdade de expressão e privacidade, ao mesmo tempo em que prevê a criação de uma política nacional voltada à proteção dos mais jovens.

A responsabilidade das empresas de tecnologia, especialmente das big techs, ganha destaque na Resolução, que as obriga a adotar medidas concretas para mitigar e prevenir abusos que coloquem em risco os direitos de crianças e adolescentes. Como visto no caso da Meta, a negligência de grandes plataformas em cumprir a legislação vigente abre espaço para práticas ilícitas que exploram a vulnerabilidade dos mais novos.

A Resolução 245 também enfatiza a necessidade de uma readequação no modelo de negócios das empresas de tecnologia, que muitas vezes priorizam o lucro em detrimento do bem-estar dos jovens usuários. A implementação dessas diretrizes dependerá de esforços coordenados entre o governo, a sociedade civil e as empresas, para que a internet se torne um ambiente mais seguro e inclusivo para todos.

A base normativa trazida pela Resolução, aliada a políticas públicas eficazes, é fundamental para proteger não apenas o direito das crianças e adolescentes de estarem na internet, mas de estarem em um ambiente digital que respeite sua integridade e seu desenvolvimento. Afinal, a verdadeira proteção consiste em garantir um uso consciente e seguro da tecnologia, e não em afastar os jovens desse universo que já faz parte de suas vidas cotidianas.

Publicado em por Deixe um comentário

ANPD SUSPENDE PROIBIÇÃO E IMPÕE NOVAS REGRAS PARA O USO DE DADOS EM INTELIGÊNCIA ARTIFICIAL

A Autoridade Nacional de Proteção de Dados (ANPD) decidiu, na última sexta-feira (30), suspender a medida que proibia uma grande empresa de tecnologia de utilizar dados pessoais para treinar seu sistema de inteligência artificial. Anteriormente, no início de julho, a ANPD havia imposto a suspensão preventiva desse uso, em razão do risco iminente de danos graves e irreversíveis aos titulares dos dados.

A reversão da medida foi possibilitada após a empresa apresentar um recurso com documentos que demonstram seu comprometimento em ajustar suas práticas. O Conselho Diretor da ANPD aprovou um Plano de Conformidade que prevê uma série de medidas corretivas que a empresa deverá adotar para garantir a adequação às normas da Lei Geral de Proteção de Dados (LGPD).

Entre as ações previstas, destaca-se o envio de notificações aos usuários das redes sociais mantidas pela empresa, tanto por e-mail quanto por meio de avisos no aplicativo. Essas mensagens trarão informações claras e acessíveis sobre como os dados pessoais serão utilizados para o treinamento de modelos de inteligência artificial.

Além disso, haverá atualizações nos documentos de comunicação pública da empresa, como o Aviso de Privacidade e banners em sua página de privacidade, visando fornecer maiores detalhes sobre o tratamento de dados para fins de IA. Outra medida importante é a garantia de que os titulares de dados possam se opor a esse tratamento de forma facilitada, inclusive com a disponibilização de um formulário simplificado para esse fim, aplicável tanto a usuários quanto a não-usuários.

O Plano de Conformidade também estabelece que a empresa está proibida de usar dados de menores de 18 anos para o treinamento da IA até que a ANPD tome uma decisão definitiva no processo de fiscalização.

A Coordenação-Geral de Fiscalização da ANPD ficará encarregada de acompanhar de perto o cumprimento das medidas pactuadas no Plano de Conformidade e a implementação do sistema de IA. Essa atuação reforça o compromisso da ANPD em promover a conformidade com a LGPD, além de esclarecer e proteger os direitos dos titulares de dados, fortalecendo uma cultura de proteção de dados no país.