A eleição presidencial dos EUA de 2024 está entrando em sua reta final, o que significa que hackers apoiados pelo estado estão saindo das sombras para interferir de sua própria maneira especial. Isso inclui o APT42 do Irã, um grupo de hackers afiliado ao Corpo da Guarda Revolucionária Islâmica do Irã, que o Threat Analysis Group do Google diz ter como alvo quase uma dúzia de pessoas associadas às campanhas de Donald Trump e Joe Biden (agora Kamala Harris).
O desastre contínuo que é a violação da corretora de dados e empresa de verificação de antecedentes National Public Data está apenas começando. Embora a violação da empresa tenha ocorrido meses atrás, a empresa só a reconheceu publicamente na segunda-feira, depois que alguém postou o que eles alegaram ser “2,9 bilhões de registros” de pessoas nos EUA, Reino Unido e Canadá, incluindo nomes, endereços físicos e números de Previdência Social. A análise contínua dos dados, no entanto, mostra que a história é muito mais confusa — assim como os riscos.
Agora você pode adicionar trocadores de marchas de bicicleta e armários de academia à lista de coisas que podem ser hackeadas. Pesquisadores de segurança revelaram esta semana que os trocadores sem fio Di2 da Shimano podem ser vulneráveis a vários ataques baseados em rádio, o que pode permitir que alguém troque as marchas de um ciclista remotamente ou impedi-lo de trocar de marcha em um momento crucial de uma corrida. Enquanto isso, outros pesquisadores descobriram que é possível extrair as chaves do administrador de armários eletrônicos usados em academias e escritórios ao redor do mundo, potencialmente dando a um criminoso acesso a todos os armários em um único local.
Se você usa um telefone Google Pixel, não o perca de vista: uma vulnerabilidade não corrigida em um aplicativo Android oculto chamado Showcase.apk pode dar a um invasor a capacidade de obter acesso profundo ao seu dispositivo. Explorar a vulnerabilidade pode exigir acesso físico a um dispositivo alvo, mas os pesquisadores da iVerify que descobriram a falha dizem que também pode ser possível por meio de outras vulnerabilidades. O Google diz que planeja lançar uma correção “nas próximas semanas”, mas isso não é bom o suficiente para a empresa de análise de dados e contratada militar dos EUA Palantir, que deixará de usar todos os dispositivos Android devido ao que acredita ter sido uma resposta insuficiente do Google.
Mas isso não é tudo. Toda semana, reunimos as notícias sobre segurança e privacidade que não cobrimos em profundidade. Clique nas manchetes para ler as histórias completas. E fique seguro lá fora.
Um tribunal federal de apelações dos EUA decidiu na semana passada que os chamados mandados de geofence violam as proteções da Quarta Emenda contra buscas e apreensões irracionais. Os mandados de geofence permitem que a polícia exija que empresas como o Google entreguem uma lista de todos os dispositivos que apareceram em um determinado local em um determinado momento. O Tribunal de Apelações do Quinto Circuito dos EUA governou em 9 de agosto que os mandados de geocerca são “categoricamente proibidos pela Quarta Emenda” porque “eles nunca incluir um usuário específico a ser identificado, apenas uma localização temporal e geográfica onde qualquer usuário específico poderia aparecem após a busca.” Em outras palavras, eles são a expedição de pesca inconstitucional que os defensores da privacidade e das liberdades civis há muito afirmam que são.
O Google, que coleta os históricos de localização de dezenas de milhões de residentes nos EUA e é o alvo mais frequente de mandados de geocerca, prometeu no final do ano passado que estava mudando a forma como armazena dados de localização de forma que os mandados de geocerca não podem mais retornar os dados que antes retornavam. Legalmente, no entanto, a questão está longe de ser resolvida: a decisão do Quinto Circuito se aplica apenas à atividade policial na Louisiana, Mississippi e Texas. Além disso, devido às fracas leis de privacidade dos EUA, a polícia pode simplesmente comprar os dados e pular o incômodo processo de mandado completamente. Quanto aos apelantes no caso ouvido pelo Quinto Circuito, bem, eles não estão em melhor situação: o tribunal concluiu que a polícia usou o mandado de geofence de “boa fé” quando foi emitido em 2018, então eles ainda podem usar as evidências que obtiveram.
O Comitê de Investimento Estrangeiro nos EUA (CFIUS) multou a T-Mobile, de propriedade alemã, em um recorde de US$ 60 milhões esta semana por seu manuseio incorreto de dados durante sua integração com a Sprint, sediada nos EUA, após a fusão das empresas em 2020. De acordo com CFIUS“A T-Mobile falhou em tomar as medidas apropriadas para impedir o acesso não autorizado a certos dados sensíveis,” em violação a um Acordo de Segurança Nacional que a empresa assinou com o comitê, que avalia as implicações de segurança nacional de negócios estrangeiros com empresas dos EUA. A T-Mobile disse em uma declaração que problemas técnicos impactaram “informações compartilhadas de um pequeno número de solicitações de informações de aplicação da lei.” Enquanto a empresa alega ter agido “rapidamente” e “de forma oportuna,” o CFIUS alega que a T-Mobile “falhou em relatar alguns incidentes de acesso não autorizado prontamente ao CFIUS, atrasando os esforços do Comitê para investigar e mitigar qualquer dano potencial.”
A saga de 12 anos que é o processo de Kim Dotcom avançou lentamente esta semana com o ministro da justiça da Nova Zelândia aprovando o pedido dos EUA para extraditar o controverso empreendedor. Dotcom criou o serviço de compartilhamento de arquivos Megaupload, que as autoridades dos EUA dizem ter sido usado para violação generalizada de direitos autorais. Os EUA apreenderam o Megaupload em 2012 e indiciado Dotcom por acusações relacionadas a extorsão, violação de direitos autorais e lavagem de dinheiro. Dotcom negou qualquer irregularidade, mas perdeu uma tentativa de bloquear a extradição em 2017 e vem lutando contra isso desde então. Apesar da decisão do ministro da justiça, Dotcom prometeu em uma postar no X para permanecer no país onde é residente legal desde 2010. “Eu amo a Nova Zelândia”, ele escreveu. “Não vou embora.”
O flagelo crescente da pornografia deepfake — imagens explícitas que “despem” pessoas digitalmente sem seu consentimento — pode finalmente ter atingido um grande obstáculo legal. A procuradora-chefe adjunta da cidade de São Francisco, Yvonne Meré — e a cidade de São Francisco por extensão — entrou com uma ação judicial contra os 16 sites de “nudificação” mais populares. Esses sites e aplicativos permitem que as pessoas façam imagens deepfake explícitas de praticamente qualquer pessoa, mas eles têm sido cada vez mais usados por meninos para fazer material de abuso sexual de suas colegas de classe menores de idade. Enquanto vários estados criminalizaram a criação e distribuição de material de abuso sexual de menores gerado por IA, o processo de Meré busca efetivamente fechar os sites completamente.
