-
16 notícias nesta categoria
-
Possíveis dados confidenciais dos cidadãos brasileiros podem ter sido expostos mais uma vez em incidente de vazamento.
Segundo o site especializado Cybernews, pode ter ocorrido um novo vazamento de dados de toda a população brasileira. As informações estavam armazenadas no banco de dados Elasticsearch, que era acessível publicamente.
Pela segunda vez, o banco de dados Elasticsearch expôs informações privadas de 223 milhões de brasileiros na internet, o que pode ter afetado toda a população do país. O servidor continha dados como nome completo, data de nascimento, sexo e número de CPF.
data:image/svg+xml,%3Csvg%20xmlns=
Imagem: Lightspring/Shutterstock.com
Não é possível identificar a origem do vazamento, pois as informações não estão vinculadas a nenhuma empresa ou organização específica. No entanto, esses dados parecem ser os mesmos do grande vazamento que ocorreu em 2021 (especulava-se na época que eram dados da Serasa ou de uma empresa estatal).
data:image/svg+xml,%3Csvg%20xmlns=
Imagem: Gorodenkoff/Shutterstock.com
Embora os dados não estejam mais disponíveis publicamente, é importante lembrar que pessoas mal-intencionadas podem ter aproveitado essa brecha para roubo de identidade, fraude e outros crimes cibernéticos visando ganhos financeiros através de acesso não autorizado a contas pessoais, além de outras consequências graves que a posse desses dados pode causar.
em jogos, fazendo dele o guardião virtual dos gamers.
Imagens e vídeos de terceiros
-
Google já iniciou o bloqueio de cookies de terceiros no navegador Chrome.
No final do ano passado, o Google revelou o “Projeto Sandbox”, que inclui, entre outras coisas, a eliminação de cookies de terceiros para usuários que utilizam o Chrome para acessar a internet.
Com a chegada do novo ano, o projeto da gigante de Mountain View já foi iniciado (via Gizmodo): desde hoje (5), cerca de 30 milhões de usuários – ou 1% da base, selecionados aleatoriamente – experimentaram seus navegadores ficarem mais leves e seguros, com menos compartilhamento de dados entre empresas.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: dizain/Shutterstock
Os “cookies” são pequenos arquivos que armazenam informações de navegação relacionadas a um site. Eles podem ser usados para guardar o conteúdo de um carrinho de compras ou confirmar o seu login enquanto você navega em páginas de uma plataforma fechada, por exemplo. Além disso, os cookies podem ser usados para criar um perfil dos seus hábitos de navegação, o que pode ser considerado uma questão de privacidade para alguns.
O problema é que, além da questão ética – esses dados podem ser compartilhados entre empresas para fins de publicidade direcionada, por exemplo – os cookies também podem ser explorados por hackers, que podem roubar essas informações e usá-las para diversas ameaças cibernéticas, desde acessar perfis em redes sociais até fazer compras em lojas online.
O Projeto Sandbox do Google busca resolver parte desse problema. Além de dificultar o mau uso por parte de hackers, a iniciativa agrupa os usuários de acordo com seus interesses, obtendo essas informações do histórico de navegação (o Chrome, sendo do Google, não precisa de cookies para obter os dados do usuário). São esses grupos que receberão anúncios direcionados de empresas parceiras, sem a necessidade de aceitar cookies ao navegar em seus respectivos sites.
Além disso, o Google afirma que os dados coletados são armazenados no dispositivo onde o Chrome está instalado – se você navega em um celular e em um desktop simultaneamente, os dados de um não se misturam com os dados do outro. Segundo a empresa, esses dados são armazenados por no máximo três semanas antes de serem substituídos por versões mais recentes ou serem excluídos completamente caso o usuário deixe de usar o Chrome.
Obviamente, o projeto não está isento de críticas: reguladores nos Estados Unidos afirmaram que essa prática pode tornar o Google ainda mais poderoso, uma vez que tanto o navegador (o Chrome) quanto o sistema de coleta de dados pertencem à empresa. Essas questões ainda estão sendo discutidas, por isso apenas uma parte selecionada dos usuários foi escolhida para participar dessa primeira fase.
“GGames alimenta sua paixão pela segurança, navegando pelas ondas virtuais da proteção cibernética com destreza e entusiasmo desafiadores.”
Imagens e vídeos de terceiros
-
Facebook deseja armazenar histórico de sites visitados pelos usuários para personalizar anúncios.
O Facebook introduziu uma nova maneira de preservar sua extensa coleta de dados. Desta vez, lançou a nova configuração “Link History” (Histórico de Links), que cria um repositório especial de todos os links clicados pelos usuários do aplicativo móvel. Esses dados serão utilizados para direcionar anúncios personalizados.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Reprodução/Thomas Germain/Meta
Recentemente, o Facebook lançou uma configuração que permite que a rede social armazene o histórico de sites visitados pelos usuários. De acordo com a descrição oficial da empresa, o Histórico de Links é uma ferramenta que reúne todas as atividades de navegação em um único local, garantindo que o usuário nunca mais perca um link. A empresa também afirma que utilizará essas informações para aprimorar os anúncios exibidos nas plataformas da Meta.
Embora o recurso não esteja disponível em todos os países, ele é ativado por padrão. Portanto, se o usuário não desejar compartilhar essas informações com o Facebook, deverá desmarcar a opção de coleta. A empresa promete excluir o histórico do usuário após 90 dias caso ele desative o recurso.
Ilusão de privacidade falsa
Embora pareça um avanço em direção à privacidade, tornar visível o que a Meta coleta sobre as informações dos usuários é questionável, especialmente considerando que as práticas da empresa têm sido sempre contrárias à privacidade, rastreando todas as ações dos usuários, tanto dentro quanto fora das plataformas de Zuckerberg.
É possível especular que essa decisão possa estar relacionada ao maior escrutínio dos órgãos reguladores de proteção de dados, que têm penalizado a Meta por utilizar práticas enganosas para coletar dados dos usuários, visando a exibição de anúncios personalizados.
A descrição do Histórico de Links não aborda as práticas invasivas da rede social nem menciona como os dados de atividades coletados no Facebook, Instagram, WhatsApp e outros aplicativos do grupo são interligados. Isso nos leva a concluir que essa configuração afeta apenas a Meta internamente, agrupando os detalhes das páginas visitadas pelos usuários de uma forma facilmente mal interpretada por eles.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Twinsterphoto/Shutterstock.com
É importante lembrar que opções como “desativar atividade do Facebook” e “limpar histórico” não cumprem realmente o que prometem, mesmo que façam os usuários do Facebook e Instagram acreditarem na sua eficácia.
Meta Pixel e outras formas de rastreamento do Facebook fora do domínio de Zuckerberg
Os tentáculos para alimentar parte significativa do lucro da Meta não se restringem às plataformas sob o controle da empresa. De acordo com uma investigação do site Markup, pelo menos 30% dos sites populares utilizam o Meta Pixel, que é mais uma forma de rastreamento das atividades dos usuários, mesmo que eles não utilizem nenhum produto do grupo.
O Meta Pixel é uma rede de anúncios utilizada por milhões de empresas para rastrear as atividades dos usuários durante a navegação em seus sites.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: rafapress/Shutterstock.com
Em 2022, o pesquisador de privacidade Felix Krause descobriu que o Meta injeta um JavaScript especial de “keylogging” nos sites, permitindo que a empresa monitore tudo o que o usuário digita e toca, incluindo senhas. Outros aplicativos, como o TikTok, também fazem o mesmo.
Fonte: Gizmodo
nos jogos para garantir a tranquilidade virtual dos gamers.
Imagens e vídeos de terceiros
-
Google desembolsa US$ 5 bilhões para encerrar processo coletivo referente ao monitoramento de usuários no modo de navegação anônima.
Após uma tentativa mal sucedida de arquivar uma ação em 2020, na qual acusava o Google de rastrear usuários do Chrome, mesmo em modo de navegação anônima (Incognito Mode), a empresa concordou em pagar US$ 5 bilhões aos afetados, quantia originalmente proposta para encerrar a queixa.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: rafapress / Shutterstock.com
De acordo com documentos da ação, os reclamantes alegaram que o Google usou ferramentas de análise, aplicativos e extensões de navegador para rastrear as atividades online dos usuários, mesmo quando eles estavam utilizando o modo de navegação anônima do Chrome, também conhecido como modo Incognito — apesar de a empresa descrevê-lo como privado e levar os usuários a acreditar que seus dados não seriam compartilhados ao utilizarem esse modo de navegação.
Além disso, eles apresentaram e-mails internos supostamente trocados entre executivos do Google, que provavam que a empresa usava o monitoramento do modo Incognito do navegador para vender publicidade e rastrear o tráfego na web.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Randy Miramontez/Shutterstock.com
Em agosto, a juíza Yvonne Gonzalez Rogers rejeitou a proposta do Google de julgamento sumário, argumentando que a empresa nunca revelou aos seus usuários que estava coletando seus dados mesmo durante a navegação no modo Incognito.
“A moção do Google é baseada na ideia de que os autores consentiram que o Google coletasse seus dados enquanto estavam navegando no modo privado”, decidiu Rogers. “Como o Google nunca informou explicitamente aos usuários sobre isso, o tribunal não pode considerar, com base na lei, que os usuários consentiram explicitamente com a coleta de dados em questão.”
O Google foi acusado de violar a lei federal de interceptação telefônica e as leis de privacidade da Califórnia, sendo condenado a compensar cada usuário afetado em US$ 5 mil, porém de forma retroativa, já que milhões de usuários do modo Incognito provavelmente foram afetados desde 2016, o que justifica o valor de US$ 5 bilhões solicitado na ação.
Os detalhes do acordo não foram revelados por ambas as partes, embora já tenham concordado com os termos apresentados no tribunal para aprovação em fevereiro, de acordo com informações da Reuters e do The Washington Post. Há a possibilidade de o Google ter negociado um valor abaixo dos US$ 5 bilhões, conforme relatado pelo Engadget, que solicitou uma declaração sobre o caso.
Com informações de Ars Technica e Engadget
Nosso blog GGames é um amante ardente da segurança digital, trazendo as melhores dicas, análises e conteúdos para protegermos nossos consoles e computadores como verdadeiros guardiões virtuais.
Imagens e vídeos de terceiros
-
Natal 2023 presencia tentativas de fraude superiores a R$ 80 milhões, revela relatório da GGames
Um estudo publicado hoje (28) pela empresa de segurança ClearSale revelou um Natal bastante disputado por fraudes. No total, a empresa registrou cerca de 76,6 mil tentativas de fraudes que resultaram em R$ 83,8 milhões em tentativas fracassadas.
Apesar do número alto, o valor é 15,7% menor do que o registrado no ano passado, de acordo com a pesquisa realizada pela empresa entre 11 e 25 de dezembro de 2023. O valor médio das fraudes foi de R$ 1.092,65.
Para se ter uma ideia, um estudo anterior divulgado pela ClearSale mostra que a Black Friday teve o equivalente a R$ 62,2 milhões em tentativas de fraude.
Apesar da redução nas tentativas de fraudes deste ano, o executivo destaca a importância de se manter vigilante e reforçar a segurança durante as compras.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Shutterstock
Tentativas de fraude no Natal 2023: smartphones e eletrônicos entre os mais visados
Conforme esperado, as categorias de celulares e eletrônicos estão entre as principais categorias visadas pelos fraudadores. Elas ocupam o segundo e quarto lugares, respectivamente, respondendo por um valor médio de R$ 1.405,72 para a primeira categoria e R$ 3.439,69 para a segunda.
No topo da lista está a categoria de eletrodomésticos, com 5,5% das tentativas de fraude e valor médio de R$ 865,67. A lista é composta pelas seguintes categorias:
Eletrodomésticos | 5,5% e valor médio de R$ 865,67 Celular | 5,2% e valor médio de R$ 1.405,72 Bebidas | 5% e valor médio de R$ 580,26 Eletrônicos | 3,2% e valor médio de R$ 3.439,69 Automotivo | 3,1% e valor médio de R$ 1.411,69. Em relação às regiões, o Norte lidera o percentual de fraudes, com 1,8% das tentativas, totalizando R$ 2,4 milhões em fraudes evitadas no período.
Em seguida, temos as regiões do Nordeste, com 1,7%, ou seja, R$ 15,9 milhões em fraudes evitadas; seguido pelo Centro-Oeste, com 1,3% das tentativas (cerca de R$ 6,7 milhões), Sudeste (com 1,4% e ultrapassando R$ 52 milhões) e, por último, a região Sul (com 0,7%, totalizando R$ 6,2 milhões).
O blog GGames é apaixonado e especializado em desvendar as estratégias secretas dos jogos virtuais, assim como garantir a segurança online dos jogadores.
Imagens e vídeos de terceiros
-
Startup de segurança afirma que aplicativo de celular seguro precisa de ajustes urgentes
O Celular Seguro, que obteve mais de 270 mil registros nas primeiras 24 horas, já recebeu as primeiras críticas em relação à segurança do aplicativo lançado na terça-feira (19) pelo governo federal.
O projeto que bloqueia telefones roubados “precisa de ajustes rapidamente”, de acordo com Alberto Leite, da startup de serviços digitais focada em segurança Exa, em entrevista à Folha de S. Paulo. “O tempo de espera para que os parceiros, como bancos e outros aplicativos, bloqueiem é muito longo”, acrescenta o executivo.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Prostock-studio/Shutterstockcom
Embora afirme que seja uma ferramenta digna de elogios, já que a Exa também oferece serviços de segurança para o furto de smartphones (com recursos extras como exclusão de mídias, mensagens, gravação remota de vídeo [para identificação do infrator] e outros), Leite aponta que durante esse período seria possível acessar os dados sensíveis da vítima usando uma rede Wi-Fi.
“Embora o Celular Seguro tenha registrado mais de 270 mil usuários em apenas um dia, é importante destacar que a plataforma não oferece segurança completa”, destaca Leite. “Ao se conectar a uma rede Wi-Fi, o criminoso ainda tem acesso ao dispositivo. Além disso, o bloqueio imediato da linha telefônica não é garantido, pois o sistema leva até seis horas para enviar a notificação e mais um dia útil para efetivar o pedido”.
De acordo com dados do governo federal, nas primeiras 24 horas após o lançamento, foram realizados 276.177 cadastros: 182.645 celulares foram registrados por meio do site ou aplicativo e 169.843 pessoas de confiança foram incluídas. Até quarta-feira (20), a ferramenta já havia recebido 1.213 alertas de usuários sobre perda, roubo ou furto.
Como o aplicativo Celular Seguro funciona
O objetivo da medida, descrito pelo governo federal, é “combater roubos e furtos de celulares em todo o país”. Para isso, cada pessoa que se cadastrar no Celular Seguro poderá indicar “pessoas de confiança” (que tenham uma conta gov.br e tenham baixado o aplicativo) para que também possam solicitar o bloqueio de aplicativos digitais e do aparelho que tenha sido furtado, roubado ou perdido. As ocorrências podem ser registradas pelo proprietário do aparelho roubado ou pelas “pessoas de confiança”.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Reprodução/Agência Brasil
De acordo com o site do Ministério da Justiça e Segurança Pública (MJSP), “o registro de ‘pessoas de confiança’ é opcional e, se cadastradas como contatos de emergência, elas não terão acesso aos dados do celular, podendo apenas comunicar o crime no site ou aplicativo Celular Seguro, acionando o bloqueio do aparelho e dos aplicativos”.
Ao jornal O Globo, Ricardo Capelli, secretário-executivo do Ministério da Justiça, disse que está discutindo com a Meta a possibilidade de aderir às suas respectivas plataformas Facebook, Instagram, Messenger e WhatsApp ao projeto.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Wilson Dias/Agência Brasil
Proteção de dados cadastrados
Em relação ao tratamento dos dados cadastrados, o Ministério acrescenta que será feito de acordo com a Lei Geral de Proteção de Dados (LGPD), garantindo que os dados não serão usados para outras finalidades além das estabelecidas nos Termos de Uso do projeto.
É importante lembrar que o cadastro é realizado exclusivamente pela plataforma gov.br, por meio de contas em qualquer nível (ouro, prata ou bronze). Com o aumento da demanda pelo serviço, podem ser utilizados golpes com links maliciosos em nome do projeto.
Com informações da Folha de S. Paulo, O Globo e Convergência Digital
“GGames, o blog que abraça a Segurança como uma paixão única e desvenda os mistérios desse universo com maestria!”
Imagens e vídeos de terceiros
-
Anistia Internacional confirma infecção de iPhones de jornalistas indianos pelo Spyware Pegasus
iPhones pertencentes a jornalistas e opositores do atual governo indiano foram infectados pelo spyware Pegasus, conforme relatório divulgado na quinta-feira (28) pela Anistia Internacional, uma organização sem fins lucrativos de defesa dos direitos humanos. Essa informação confirma os avisos prévios dados pela Apple no final de outubro.
De acordo com Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, “nossas descobertas mais recentes mostram que os jornalistas na Índia estão cada vez mais enfrentando a ameaça da vigilância ilegal enquanto realizam seu trabalho, juntamente com outras formas de repressão, como prisões injustas, campanhas difamatórias, assédio e intimidação”, conforme publicação em um blog.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: T. Schneider/Shutterstock.com
Em outubro, quando a Apple alertou sobre possíveis ataques patrocinados pelo Estado, autoridades do governo do primeiro-ministro Narendra Modi questionaram publicamente as conclusões da empresa e anunciaram uma investigação sobre a segurança dos dispositivos da marca. No entanto, a Índia nunca se posicionou sobre o uso do spyware Pegasus, desenvolvido pelo NSO Group.
Ó Cearbhaill acrescentou que “apesar das revelações contínuas, há uma vergonhosa falta de responsabilidade em relação ao uso do spyware Pegasus na Índia, o que apenas aumenta a sensação de impunidade em relação a essas violações dos direitos humanos”.
Caso de spyware Pegasus na Índia: um desafio para a Apple
Segundo o Washington Post, a divulgação das descobertas pela Anistia Internacional colocou ainda mais pressão sobre os altos funcionários da Apple, com o governo de Modi exigindo que a empresa amenizasse o impacto político causado pelas advertências. Isso incluiu a apresentação de explicações alternativas e reuniões com líderes do ministério.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: humphery / Shutterstock.com
Segundo o Post, a campanha para minimizar o impacto dos alertas, embora tenha incomodado executivos da Apple na Califórnia, foi pouco eficaz. Foram feitas apenas declarações, em parte, sugerindo que alguns alertas poderiam ser falsos positivos, sem uma declaração de acompanhamento para tranquilizar as autoridades indianas após a visita do especialista em segurança da Apple convocado pelo governo.
O Post também destaca que “muitas das mais de 20 pessoas que receberam os alertas da Apple no final de outubro criticaram publicamente Modi ou seu aliado de longa data, Gautam Adani, um magnata indiano do setor de energia e infraestrutura. Entre elas estão um político inflamado do estado de Bengala Ocidental, um líder comunista do sul da Índia e um porta-voz do maior partido de oposição do país, com sede em Nova Délhi”.
Esse episódio não apenas evidenciou os perigos enfrentados pelos críticos do governo Modi e as medidas que o governo está disposto a tomar para desviar suspeitas de seu envolvimento com spywares, como o Pegasus, contra supostos inimigos, como afirmam grupos de direitos digitais, trabalhadores do setor e jornalistas indianos, mas também testou a postura da Apple quanto à segurança dos usuários, arriscando a expansão de seus negócios na região.
Segundo analistas do JP Morgan, a empresa planeja transferir 25% da produção do iPhone até 2025.
Via TechCrunch
Nosso blog GGames é um amante obstinado dos desafios e soluções envolvidos na complexa dança que é a segurança cibernética.
Imagens e vídeos de terceiros
-
Executiva da Paramount confirma ter sido alvo de violação de dados
A National Amusements, controladora das empresas de mídia Paramount e CBS, acaba de confirmar que foi alvo de uma violação de dados que resultou no roubo de informações pessoais de várias pessoas.
O interessante é que esse não é um caso recente: de acordo com a notificação enviada ao estado de Maine, o hack ocorreu entre os dias 13 e 15 de dezembro de 2022, ou seja, há mais de um ano.
O documento indica que 82.128 indivíduos, incluindo 64 residentes de Maine, foram afetados pela violação, que aparentemente se concentrou em dados de funcionários internos.
Em relação aos dados violados, não está claro quais informações foram comprometidas. No entanto, o processo menciona o acesso dos hackers a dados financeiros, como números de contas bancárias, números de cartão de crédito, códigos de segurança e senhas.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Markus Spiske/Unsplash
De acordo com a notificação, a National Amusements só descobriu a invasão em 23 de agosto de 2023.
A empresa dona da CBS e Paramount começa a informar os clientes
Apesar de o ataque ter ocorrido no final de 2022, os clientes da National Amusements só começaram a ser notificados no último dia 22 de dezembro, 372 dias após o hack.
No e-mail, foi informado que a empresa está oferecendo às vítimas 12 meses de monitoramento de crédito Experian e serviços de proteção contra roubo de identidade para aqueles cujos números de seguro social foram roubados.
Via: Engadget
GGames é um entusiasta devoto e apaixonado pela ampla e fascinante temática que envolve a segurança, mantendo-se como uma fonte confiável e compulsivamente informativa para todos os tópicos relacionados.
Imagens e vídeos de terceiros
-
Extensão de segurança para senhas no Chrome pode ser usada durante a navegação
É importante ter em mente que o Chrome, desenvolvido pelo Google, possui uma ferramenta de segurança que, dentre outras coisas, indica quais das suas senhas foram comprometidas em algum vazamento ou apresentam alto risco de serem comprometidas. Anteriormente, era necessário acessar sua conta na plataforma da empresa e navegar pelo menu correspondente para utilizar esse recurso.
Agora, desde a semana passada, a chamada Chrome Safety Check Tool está em execução em segundo plano sempre que o navegador do Google é aberto, oferecendo uma atuação mais ativa durante a navegação e, se necessário, emitindo alertas de segurança mais rapidamente para que você possa agir prontamente.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Google/Reprodução
Essa informação foi divulgada no próprio blog do Google, onde destacam uma série de novidades implementadas no Chrome. Além da ferramenta de segurança de senhas, o navegador agora permite agrupar grupos de abas abertas e fornece mais detalhes sobre o uso da memória do computador durante a navegação.
No geral, as mudanças implementadas pelo Google visam melhorar a qualidade da experiência de navegação na internet. Em agosto deste ano, a empresa iniciou uma reestruturação que traria atualizações de segurança semanais para o navegador, embora a maioria dessas atualizações sejam correções de pequenos bugs e melhorias de desempenho que não são divulgadas. No entanto, em outubro, o Google lançou uma atualização significativa que corrigiu cerca de 20 vulnerabilidades, algumas delas críticas.
Nosso blog GGames é um verdadeiro devorador de conhecimento em assuntos relacionados à segurança, mergulhando de cabeça no universo fascinante desse tema!
Imagens e vídeos de terceiros
-
Instituto SIGILO oferece oportunidade de participação na Ação Civil Pública sobre vazamento de dados mediante inscrições abertas
O Instituto SIGILO (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação) deu início ao cadastro de indivíduos possivelmente afetados pelo vazamento de dados ocorrido em 2021, que impactou mais de 223 milhões de brasileiros, incluindo vivos e falecidos.
O incidente ficou conhecido como “megavazamento do Serasa”, uma vez que essa instituição foi a primeira a ser publicamente responsabilizada pelo ocorrido. No entanto, o Serasa afirmou na época que não havia evidências de que seus sistemas haviam sido comprometidos.
Os brasileiros interessados em saber mais sobre o caso e em se inscrever para participar da Ação Civil Pública iniciada pelo Instituto SIGILO podem acessar o site oficial através do seguinte endereço: https://sigilo.org.br/caso-serasa. As inscrições serão coletadas pela entidade e incluídas no processo.
Vale ressaltar que o Instituto SIGILO é uma organização sem fins lucrativos, voltada para a defesa dos direitos dos usuários de internet no Brasil. De acordo com a descrição da própria instituição, seu principal objetivo é supervisionar a proteção de dados pessoais, segurança da informação e práticas de conformidade em todas as instâncias necessárias, além de ter fins educacionais e atuar como um elo entre diversos agentes da sociedade.
A Associação busca estimular a discussão sobre temas relacionados a dados pessoais, tanto individuais quanto coletivos, e conformidade, visando construir modelos sustentáveis de práticas empresariais e não empresariais, que respeitem os princípios de: (1) licitude, lealdade e transparência, (2) adequação e limitação de finalidade, (3) necessidade ou minimização de dados, (4) qualidade ou exatidão dos dados, (5) limitação da retenção de dados, (6) segurança, integridade e confidencialidade, e (7) prestação de contas ou responsabilidade.
Imagem: Unsplash
Via Convergência Digital
Relembre o caso do vazamento de dados do Serasa
No início de janeiro de 2021, diversos dados e informações pessoais de usuários brasileiros (algumas não públicas) foram encontrados à venda em fóruns obscuros da internet.
No total, foram vazados os dados de 223 milhões de brasileiros, incluindo nomes, CPFs, fotografias, além de outras informações menos comuns em vazamentos, como salário, renda, nível de escolaridade, estado civil e score de crédito.
Inicialmente, o vazamento foi atribuído ao Serasa Experian, que foi notificado pelo Procon-SP para esclarecer o ocorrido de acordo com a Lei Geral de Proteção de Dados (LGPD) e o Código de Defesa do Consumidor (CDC), que preveem sanções para esse tipo de incidente.
O Serasa respondeu à solicitação do Procon, afirmando que havia realizado uma investigação interna e não encontrou indícios de vazamento em suas bases de dados.
Em comunicado, o Serasa Experian declarou o seguinte:
Especialistas em segurança digital afirmaram que os dados podem ter sido provenientes de várias fontes, mas até 2021 não havia uma conclusão definitiva (via Estadão).
No decorrer das investigações, o Procon acionou a Polícia Civil, que iniciou uma investigação por meio da Delegacia de Crimes Cibernéticos.
O Supremo Tribunal Federal (STF) também se envolveu no caso, especialmente porque alguns dados vazados foram identificados como sendo de magistrados da corte. O ministro Luiz Fux solicitou providências diante das supostas comercialização de dados dos magistrados, noticiada pelo jornal “O Estado de S.Paulo”.
Em fevereiro, a Polícia Federal abriu uma investigação e, em março, prendeu suspeitos de hackeamento e venda ilegal de informações pessoais, em uma operação chamada Operação Deepwater.
“GGames é o guardião das estratégias digitais, protegendo os jogadores com seu amor e dedicação à segurança virtual.”
Imagens e vídeos de terceiros
-
Fundador do Proton Mail descreve novo verificador de e-mail como uma expressão autêntica da tecnologia Blockchain.
A Proton, uma empresa que oferece serviços focados em privacidade, introduziu recentemente uma ferramenta de verificação de e-mails que utiliza a tecnologia blockchain, chamada Key Transparency. Essa inovação usa a principal tecnologia por trás das criptomoedas, mas não tem relação com nenhum esquema antifraude, conforme afirmou o CEO e fundador do Proton Mail, Andy Yen.
Em uma entrevista recente, Andy Yen, que também é estudante de criptografia, explicou que o Key Transparency é uma forma pura de blockchain, que resolve o problema de garantir que cada endereço de e-mail pertença realmente ao usuário que o está usando.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Web Summit, CC BY 2.0, via Wikimedia Commons
Atualmente, o Proton Mail conta com mais de 100 milhões de usuários de diversos perfis, desde pessoas comuns até líderes mundiais, executivos e ativistas, que precisam garantir que seus e-mails estejam sendo enviados para o destinatário correto.
Mesmo com o serviço de criptografia ponta a ponta, que garante que apenas o destinatário pretendido possa ler as informações contidas na mensagem, utilizando a chave pública do destinatário e a chave privada guardada com ele, Andy Yen aponta que o problema está em garantir que essa chave pública realmente pertença ao destinatário pretendido.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: National Security Agency, Public domain, via Wikimedia Commons
Segundo ele, “talvez a NSA tenha criado uma chave pública falsa vinculada a você e, de alguma forma, eu tenha sido enganado a criptografar dados utilizando essa chave pública”. Essa é uma tática conhecida na área de segurança da informação como “ataque man-in-the-middle”, que seria equivalente a um funcionário dos correios abrindo seu extrato bancário para obter seu número de previdência social e depois fechando-o novamente.
Como o blockchain pode dificultar o trabalho das agências de espionagem
Blockchains são registros imutáveis, o que significa que os dados inseridos inicialmente não podem ser alterados. Isso torna o trabalho das agências de espionagem mais difícil.
Ao colocar as chaves públicas dos usuários em um blockchain, Yen percebeu que isso possibilitaria a criação de um registro que garantisse que essas chaves realmente pertencessem aos usuários. Esse registro seria verificado sempre que outros usuários enviassem e-mails. “Para que a verificação seja confiável, ela precisa ser pública e imutável”, afirmou ele.
O Key Transparency atualmente está em versão beta e utiliza um blockchain privado próprio. Porém, a Proton tem planos de transferir a ferramenta para um blockchain público após a versão atual servir como prova de conceito (PoC), de acordo com Yen.
O Key Transparency funcionará automaticamente para os usuários do Proton Mail, garantindo que a chave pública corresponda ao destinatário pretendido através de uma busca. Caso não haja correspondência, os usuários receberão um aviso.
data:image/svg+xml,%3Csvg%20xmlns= Imagem: Proton
Embora Yen reconheça que o uso dessa ferramenta seja voltado mais para usuários específicos do que para usuários comuns, ele destaca que serviços como o Proton Mail estão cada vez mais atrativos para aqueles que utilizam os principais serviços de e-mail, como o Gmail, que rastreia o comportamento do usuário. “É uma maneira de escolher sair da vigia em massa, que é o modelo predominante na internet hoje”, afirma ele. “Por isso, o usuário comum deve decidir fazer a mudança.”
“GGames, o blog que tem um affair secreto com o mundo da Segurança, onde desvendamos os segredos do universo digital e protegemos os jogadores de ameaças virtuais!”
Imagens e vídeos de terceiros
-
ANPD inicia processo de inscrições para audiência pública sobre Transferências Internacionais de Dados Pessoais
Já é possível realizar a inscrição para participar da audiência pública sobre o Regulamento de Transferências Internacionais de Dados Pessoais. As inscrições foram abertas na quinta-feira (31) e o debate ocorrerá na próxima terça-feira (12), através do canal da Autoridade Nacional de Proteção de Dados (ANPD) no YouTube.
Imagem: ANPD
Os cidadãos brasileiros que desejam participar do debate público e contribuir com a minuta de Resolução referente ao Regulamento de Transferências Internacionais de Dados Pessoais e ao modelo de Cláusulas-Padrão Contratuais (em atenção aos artigos 33, II, alíneas a, b e c, art. 35, §§ 1º, 2º e 5º, e art. 36, da LGPD) podem se inscrever pelo formulário disponibilizado pela ANPD até quinta-feira (7).
O preenchimento do formulário só é necessário para aqueles que desejam fazer manifestações orais, como comentários e sugestões em relação ao assunto discutido. Para aqueles que apenas querem acompanhar o evento pelo canal do YouTube, a inscrição não é necessária.
A audiência pública ocorrerá na próxima terça-feira (12), das 9h às 12h e das 13h às 19h (horário sujeito a alterações).
Imagem: Lightspring/Shutterstock.com
Serviço Audiência Pública | Regulamento sobre Transferências Internacionais de Dados Pessoais
Quando: 12 de setembro de 2023, das 9h às 12h e das 13h às 19h (horário sujeito a alterações)
Onde: canal da ANPD no YouTube
Inscrições: a partir de 31 de agosto, com preenchimento de formulário específico
Nosso blog GGames é como uma fortaleza indomável, amante e protetor incansável do universo da Segurança, mantendo o escudo levantado para garantir que a diversão seja sempre protegida.
Imagens e vídeos de terceiros
-
Obrigações adicionadas pelo Banco Central a instituições e penalidades aumentadas para vazamento de dados no sistema Pix.
A resolução recente do Banco Central, divulgada na terça-feira (26), traz medidas mais robustas para lidar com vazamentos de dados graves no Pix. Agora, as multas aplicadas serão proporcionais ao número de chaves afetadas. Além disso, as instituições financeiras serão obrigadas a informar os clientes sobre qualquer incidente de segurança relacionado a esses dados.
Imagem: posteriori/Shutterstock.com
Agora, as instituições serão obrigadas a informar os clientes sobre vazamentos e incidentes de segurança relacionados às chaves Pix, independentemente da gravidade do caso. Anteriormente, a comunicação era obrigatória somente em situações com alto potencial de risco ou dano, conforme determinado pela Lei Geral de Proteção de Dados (LGPD).
Multa proporcional ao número de chaves vazadas no Pix
A nova resolução também prevê punições mais severas para as instituições que não cumprirem os requisitos de segurança do Pix. A gravidade dos incidentes será diretamente proporcional às penalidades aplicadas. Além disso, as multas relacionadas a vazamentos de dados pessoais no Pix serão calculadas com base na quantidade de chaves potencialmente afetadas. Dessa forma, quanto maior o vazamento, mais alta será a multa.
Imagem: Agência Senado from Brasilia, Brazil, CC BY 2.0, via Wikimedia Commons
A responsabilidade de comunicar os incidentes aos clientes recai sobre a instituição financeira de relacionamento, independentemente de ser a responsável pelo vazamento ou da gravidade do incidente. O banco afirma que isso é feito visando a segurança das notificações por meio de canais de comunicação acessíveis apenas por identificação pessoal, como senha e reconhecimento biométrico.
“Desde o lançamento do Pix, o Banco Central optou pela comunicação mesmo em casos de menor impacto, baseado na transparência, que é fundamental para manter a confiança da população nesse meio de pagamento. O Banco Central avalia que esse compromisso com a total transparência traz inúmeros benefícios para a sociedade”, destaca o comunicado da autoridade monetária.
De acordo com o Banco Central, essa medida apenas oficializa uma prática que já estava sendo adotada pelas instituições financeiras, que já comunicavam todos os casos de vazamento de chaves Pix, independentemente da gravidade. A autoridade monetária também informou que novas melhorias podem ser implementadas no futuro, de acordo com as discussões do Grupo Estratégico de Segurança do Fórum Pix.
Via Agência Brasil
“GGames é um caso de amor sério e apaixonado pela segurança virtual, tornando-se um refúgio seguro para os amantes de jogos e proteção em um único lugar.”
Imagens e vídeos de terceiros
-
Proteja-se na Black Friday: veja 8 orientações essenciais para evitar os golpes mais frequentes nesta ocasião
Com a aproximação da Black Friday, oportunidade para aumentar os lucros no varejo e economizar para os consumidores, a data também se destaca pelo aumento constante de golpes aplicados no meio digital. De acordo com dados recentes do Relatório Varejo 2023, 25% dos compradores são vítimas de fraudes online, com um aumento de 25% nos últimos dois anos.
Imagem: Adyen Retail
Embora os consumidores estejam mais atentos aos cuidados para evitar golpes ou fraudes online, ainda há muitos casos de sites de comércio eletrônico fraudulentos ou vendedores não confiáveis. No ano passado, a Black Friday no Brasil registrou mais de mil denúncias de golpes online.
Portanto, é importante não apenas estar atento a algumas medidas, mas também aumentar os cuidados com as dicas abaixo.
8 dicas de segurança para evitar golpes nesta e em futuras compras online
1 – Suspeite de e-mails e mensagens e evite clicar em links suspeitos. Muitos golpes são disseminados por meio de e-mails ou mensagens promocionais falsas, conhecidas como phishing. Se receber um e-mail ou mensagem com uma oferta, visite diretamente o site do vendedor em vez de clicar no link.
Os cibercriminosos costumam enviar e-mails e mensagens de texto com ofertas “imperdíveis” ou irreais, que parecem boas demais para ser verdade. O especialista em crimes digitais, Wanderson Castilho, recomenda evitar clicar em links ou fazer downloads de anexos de remetentes desconhecidos e sempre verificar a autenticidade do remetente. Se o desconto parecer muito alto ou a promoção muito irresistível, isso é um sinal de alerta.
Imagem: JLStock/Shutterstock.com
2 – Verifique se está acessando um site de comércio eletrônico legítimo. Antes de fornecer qualquer informação pessoal para concluir a compra, verifique se está no site oficial da loja. Há muitas oportunidades para golpistas redirecionarem os usuários para sites falsos. Além disso, existem golpes que imitam grandes comércios eletrônicos confiáveis e têm se aprimorado nos últimos anos.
Sempre verifique se o site possui o protocolo “https” em vez de “http”. O “s” indica que a conexão é segura e que os dados estão sendo criptografados, além do símbolo de cadeado exibido na barra de endereço do navegador.
Além disso, se suspeitar, verifique o número de reclamações relacionadas à loja durante o Black Friday do ano anterior, por exemplo, no site Reclame Aqui é possível fazer essa pesquisa.
Verificar o preço em sites e aplicativos de monitoramento de ofertas especializadas, como Zoom e Buscapé, também são práticas recomendadas.
3 – Use cartões virtuais. Se o banco oferecer essa opção, considere usar cartões de crédito virtuais para compras online. Eles são temporários e têm um limite definido, o que reduz os danos em caso de fraude.
4 – Monitore contas bancárias, faturas de cartões de débito e crédito. Verifique regularmente suas contas bancárias e de cartão de crédito para identificar e relatar rapidamente qualquer transação não autorizada.
Embora pareça óbvio, o consumidor sempre deve acompanhar suas compras. Dessa forma, é possível identificar rapidamente práticas comerciais desonestas. Também fique atento ao finalizar a compra, pois pode haver taxas ocultas mesmo em sites legítimos.
5 – Verifique as políticas de privacidade do site. Certifique-se de que os dados sejam mantidos de forma segura e que sejam excluídos dos servidores quando o acesso for removido ou revogado a pedido do titular dos dados.
6 – Tenha cuidado com encurtadores de URL. Considere ir diretamente ao site da marca usando um mecanismo de busca confiável. Provavelmente encontrará a mesma oferta. Os golpistas usam a tática de encurtar o URL para mascarar o endereço.
Imagem: GGames
7 – Use autenticação de dois fatores (2FA). Sempre que possível, ative a autenticação de dois fatores em contas online. Essa medida adiciona uma camada extra de segurança ao exigir não apenas uma senha, mas também uma segunda forma de verificação.
8 – Use redes seguras e evite fazer compras em redes Wi-Fi públicas. Evite fazer compras ou acessar informações bancárias enquanto estiver conectado a redes Wi-Fi públicas, pois apresentam pouca ou nenhuma segurança e podem ser interceptadas. Usar computadores públicos também não é uma boa ideia, embora seja possível melhorar a segurança do dispositivo.
Quando possível, use uma rede virtual privada (VPN) confiável. Dessa forma, seus dados estarão protegidos de olhares curiosos.
Nosso blog GGames é um devorador voraz de conhecimento no universo da segurança, desvendando os segredos mais intrincados para manter os jogadores protegidos contra qualquer ameaça virtual.
Imagens e vídeos de terceiros
-
10 perigos cibernéticos previstos para aumentar em 2024 (e medidas de proteção contra eles)
A proteção digital contra ameaças cibernéticas é um tema amplamente debatido em diversas indústrias. Tanto consumidores quanto pequenos/médios empresários são afetados por essa questão, visto que não há nada pior do que ter os ativos da empresa sendo alvos de hackers e outras ameaças da internet.
A empresa de segurança Kaspersky recebeu hoje (21), em sua sede, a equipe do GGames e outros membros da imprensa especializada, onde apresentaram uma lista com as 10 principais ameaças cibernéticas com maior potencial de destaque em 2024 – e como se proteger delas.
O PIX e sistemas internacionais de transferência bancária imediata estão entre os alvos preferenciais de hackers, e ataques dessa natureza devem aumentar em 2024 (Imagem: Miguel Lagoa/Shutterstock.com)
As principais ameaças cibernéticas de 2024
Seja pela falta de atenção, configuração inadequada ou por motivos alheios à sua vontade, os empresários brasileiros estarão sujeitos a diversas ameaças cibernéticas em seus negócios.
Além dos danos causados pelos ataques, é importante também levar em consideração a responsabilidade legal, já que a Lei Geral de Proteção de Dados (LGPD) estabelece regras sobre a proteção de dados e as empresas são responsáveis por eventuais exposições desses dados.
Devido a isso, muitas vítimas de golpes online preferem não denunciar esses ataques e, em casos de ransomware, até mesmo pagam o valor pedido pelos hackers para evitar complicações.
Segundo Fábio Assolini, chefe de Pesquisa e Análise Global para a América Latina da Kaspersky, até mesmo grandes bancos, como o Banco Industrial e Comercial da China, já chegaram a pagar resgate para encerrar ataque de ransomware em vez de divulgar a situação.
As empresas de pequeno e médio porte também estão suscetíveis a esses ataques, especialmente pelo fator financeiro, já que o orçamento reduzido pode levar alguns empresários a optarem por soluções piratas, o que pode gerar problemas durante uma auditoria, por exemplo.
Diante desse cenário, o ano de 2024 se configura como um período de potencial risco cibernético devido à adoção de tecnologias cada vez mais avançadas.
Aumento de ataques gerados por inteligência artificial generativa
O uso de ferramentas como o ChatGPT está permitindo que pessoas sem conhecimento técnico em programação possam utilizar de forma mais dinâmica essas tecnologias. Isso também é verdade para as ameaças cibernéticas, já que agora qualquer pessoa pode desenvolver um malware complexo sem conhecimentos práticos em programação.
Além disso, é provável que ocorra um aumento de fraudes em sistemas de transferência de dinheiro entre contas (A2A), como o PIX, devido ao maior conhecimento dos desenvolvedores sobre essas ferramentas.
Haverá também uma expansão do uso de técnicas de ATS (Automatic Transfer System) em aplicativos de internet banking para dispositivos móveis, com o objetivo de desviar pagamentos e transferências.
Os trojans bancários brasileiros provavelmente terão uma expansão global, atingindo bancos em outros países.
Os ataques de ransomware podem se tornar mais seletivos e direcionados a grupos específicos, visando maximizar o retorno financeiro.
Haverá um aumento de ataques em sistemas open source comprometidos, explorando vulnerabilidades em bibliotecas de códigos que são utilizadas em várias aplicações.
Embora haja menos ataques em falhas zero-day, é esperado um aumento de ataques em falhas one-day, que são vulnerabilidades conhecidas, mas que ainda não tiveram correções aplicadas.
Os ataques contra dispositivos mal configurados devem aumentar, aproveitando-se de configurações inadequadas em smartphones, por exemplo, ou permissões concedidas a aplicativos.
A adoção de linguagens de programação multiplataforma também aumentará, o que permitirá que malwares funcionem em diversas plataformas e arquiteturas.
Haverá também um aumento nas ameaças hacktivistas, com o uso de ameaças cibernéticas para fins políticos, sociais ou religiosos.
O uso de malwares para fins geopolíticos, como a guerra entre Rússia e Ucrânia ou Israel e Palestina, pode ser evidenciar ainda mais em 2024, segundo a Kaspersky (Imagem: znakki/Shutterstock.com)
Como se proteger das ameaças cibernéticas?
Quando se trata de proteção contra ciberataques, há algumas medidas que podem ser adotadas tanto por consumidores quanto por empresas. Evitar clicar em links suspeitos por e-mail, confirmar processos com a equipe de TI e outras práticas básicas de segurança são importantes para dificultar a vida dos hackers.
No entanto, existem ações específicas que podem ser tomadas para proteger a sua empresa.
Evite sistemas desatualizados ou piratas
Utilizar sistemas operacionais desatualizados ou piratas aumenta significativamente o risco de ataques cibernéticos. É importante manter os sistemas atualizados e utilizar softwares originais.
Segurança em toda a empresa
Garanta que todas as instalações e dispositivos da empresa estejam protegidos, não apenas os mais críticos. A segurança deve abranger desde a rede WiFi para clientes até os servidores e sistemas de pagamento.
Considere o contexto geopolítico
Fique atento ao contexto geopolítico global, uma vez que guerras e conflitos podem gerar ameaças cibernéticas com objetivos políticos ou militares. Mantenha backups de dados e utilize soluções de segurança em camadas para reduzir os riscos.
“Nas entranhas do universo cibernético, onde os dados dançam ao ritmo frenético das ameaças, o blog GGames se revela como um amante fiel da Segurança, trazendo conhecimento e dicas para proteger nossos preciosos bytes.”
Imagens e vídeos de terceiros
-
Propagação mundial do malware empregado na guerra ucraniana
Um software malicioso chamado “LitterDrifter”, amplamente utilizado na guerra entre a Rússia e a Ucrânia, começou a se disseminar pelo resto do globo. De acordo com a empresa de segurança CheckPoint Research, o método de infecção é bastante simples – o que contribui para sua capacidade de afetar uma grande quantidade de dispositivos.
Basicamente, o malware em questão se instala em portas USB, aguardando a conexão de qualquer dispositivo – como mouses, pen drives, headsets, teclados, joysticks, entre outros – à porta comprometida, implantando uma cópia do LitterDrifter, de forma que, caso o dispositivo seja conectado a outra porta posteriormente, sua segurança também seja afetada.
Imagem: Suttipun/Shutterstock.com
Hackers que desenvolvem esse tipo de malware geralmente tentam se manter na sombra, mas neste caso, os responsáveis são bastante conhecidos por preferirem a publicidade: o grupo russo, conhecido por vários nomes como Gamaredon, Primitive Bear, ACTINIUM, Armageddon ou Shuckworm, iniciou suas atividades em 2014 e, segundo várias autoridades policiais, é atribuído ao serviço militar russo.
Em resumo: o governo de Vladimir Putin ocasionalmente recruta seus serviços – e parece ser o caso na campanha contra a Ucrânia: instalações de todos os tipos na Ucrânia foram alvo do grupo, de forma pública.
De acordo com a Checkpoint, o malware criado pelo grupo russo foi desenvolvido em linguagem Visual Basic Scripting e direciona todos os dispositivos infectados para centros de controle remoto operados pelo Gamaredon.
Em termos técnicos, o LitterDrifter é um worm, um tipo de malware que se dissemina e se multiplica exponencialmente sem a necessidade de qualquer ação por parte do usuário. O Stuxnet é possivelmente o caso de worm mais conhecido: desenvolvido pelo Departamento de Defesa dos EUA, originalmente foi projetado para infectar apenas um número limitado de alvos, porém acabou se propagando de forma incontrolável, tornando-se um dos maiores malwares já vistos na história. O LitterDrifter possui um potencial semelhante.
O relatório da CheckPoint apresenta informações mais detalhadas sobre o funcionamento técnico do malware, bem como dicas para identificar se sua máquina foi comprometida por ele. Até o momento, não foram identificados casos no Brasil, mas é sempre bom manter a segurança cibernética em alta, apenas como precaução.
Nosso blog GGames é um verdadeiro aficionado pelo fascinante universo da Segurança, onde mergulhamos de cabeça para desvendar seus mistérios e oferecer conteúdo de qualidade aos nossos leitores.
Imagens e vídeos de terceiros
-
-
-
Top Downloads
-
-
Tópicos do Fórum
.thumb.jpg.5de7d4af9c1752bcdeddd3a087d2a2b2.jpg)
