Category: Antivírus e Segurança

App Store tinha versão falsa do gerenciador de senhas LastPass

8 de fevereiro de 2024

App Store tinha versão falsa do gerenciador de senhas LastPass

LastPass autêntico continua na App Store (Imagem: Giovanni Santa Rosa/Tecnoblog)

A App Store removeu um app que se passava pelo gerenciador de senhas LastPass. A loja tomou a medida após a desenvolvedora publicar um alerta em seu blog. O aplicativo falso provavelmente tinha como objetivo roubar informações de login das vítimas.

O app falso usava um nome quase idêntico ao do gerenciador de senhas: LassPass. Além disso, o logo era parecido, mas não igual. A interface também tentava imitar a versão legítima, mas segundo a empresa, havia erros ortográficos.

LassPass era bem parecido com o LastPass (Imagem: Reprodução/LastPass)

Também era possível identificar a fraude pelo nome do desenvolvedor: na página do aplicativo, estava Parvati Patel, e não a companhia LogMeIn. Além disso, a falsificação tinha apenas uma avaliação, enquanto o gerenciador de senhas verdadeiro tem mais de 52 mil notas de usuários dos Estados Unidos (na loja brasileira, são cerca de 1,7 mil).

“O LastPass está trabalhando ativamente para que este aplicativo seja removido o mais rápido possível”, diz a nota da empresa. “Vamos continuar monitorando clones fraudulentos de nossos apps ou violações de nossa propriedade intelectual.”

App fake é risco para usuários

O site TechCrunch conseguiu mais informações sobre o LastPass fake, e parece que, felizmente, os danos causados por ele foram pequenos. O app falso foi publicado em 21 de janeiro, ficando pouco mais de duas semanas no ar.

Segundo a publicação, a imitação ficava apenas em sétimo lugar nos resultados de busca pela palavra “LastPass”, e não figurou entre os aplicativos mais baixados da App Store.

O TechCrunch também nota que a falha no processo de revisão da App Store vem em um momento ruim para a empresa. A Apple argumenta que abrir o iPhone para instalação direta de aplicativos, como quer a União Europeia, enfraquece a segurança do sistema. Desta vez, a ameaça veio pela própria loja da empresa.

O aplicativo falso só foi removido um dia após o alerta público da LastPass. Christofer Hoff, chefe de segurança da empresa, diz que eles estão em contato com a Apple para entender como o aplicativo passou pelos “rigorosos mecanismos de segurança e proteção de marca”.

Com informações: TechCrunch, BleepingComputer, LastPass
App Store tinha versão falsa do gerenciador de senhas LastPass

App Store tinha versão falsa do gerenciador de senhas LastPass
Fonte: Tecnoblog

Google Play Protect: proteção do Android vai prevenir fraudes financeiras

8 de fevereiro de 2024

Google Play Protect: proteção do Android vai prevenir fraudes financeiras

Google Play Protect deixa o Android mais seguro ao barras apps nocivos (imagem: Vitor Pádua/Tecnoblog)

O Google Play Protect foi atualizado no final de 2023 para manter dispositivos Android mais seguros contra aplicativos maliciosos em países como o Brasil. A ferramenta protege dispositivos Android ao verificar apps potencialmente nocivos antes do download. Mas um update futuro ajudará o mecanismo a também prevenir fraudes financeiras.

O que é o Google Play Protect?

O Google Play Protect é um serviço que verifica a existência de aplicativos potencialmente maliciosos no Android antes do download. A ferramenta também pode remover app nocivos já instalados, bem como alertar sobre softwares que violam as políticas de privacidade da plataforma ou têm comportamento suspeito.

Uma atualização recente tornou o Google Play Protect capaz de identificar aplicativos maliciosos que utilizam métodos engenhosos para evitar a sua detecção, como mecanismos de inteligência artificial.

Esse recurso entrou em vigor de modo oficial na Índia em outubro de 2023 e, posteriormente, foi implementado na Tailândia, Singapura e Brasil. Os resultados já são convincentes: o Google explica que a funcionalidade fez o Play Protect identificar mais de 515 mil apps maliciosos e emitir mais de 3,1 milhões de avisos ou bloqueios relacionados a eles.

Bloqueio de aplicativo no Google Play Protect (imagem: reprodução/Google)

Proteção contra fraudes financeiras

O Google também quer fazer o Play Protect ser capaz de detectar e impedir fraudes financeiras envolvendo apps nocivos. Para isso, a companhia iniciará um teste com a ferramenta que a fará analisar a instalação de aplicativos que usam permissões de tempo de execução confidenciais. Se algo suspeito ou malicioso for encontrado, o aplicativo será bloqueado automaticamente.

Entre essas permissões estão a READ_SMS, que permite ao app ler mensagens SMS enviadas ao celular, e a BIND_Notifications, que dá acesso ao histórico de notificações do aparelho. Faz sentido, afinal, essas informações podem ser interceptadas para a coleta de senhas ou de códigos de verificação, por exemplo.

A checagem em tempo real dessas permissões será executada pelo Google Play Protect sempre que o usuário tentar fazer uma instalação sideload de um aplicativo, isto é, baixar o app de páginas web ou outras fontes diferentes da Google Play Store.

O motivo disso é que, em uma pesquisa, o Google constatou que mais de 95% dos malwares e aplicativos fraudulentos que exploram permissões confidenciais vêm de instalações sideload.

Em fase piloto, mas com potencial

A verificação de permissões confidenciais pelo Google Play Protect começará nos próximos dias na Singapura, em fase piloto. A iniciativa é fruto de uma parceria com a agência de segurança cibernética do país.

Presumivelmente, a fase piloto visa avaliar se a proteção não bloqueará aplicativos legítimos ou, pior, se deixará apps maliciosos serem instalados no aparelho do usuário.

É de se esperar que, após os testes avançarem, a proteção contra fraudes financeiras seja expandida para outros países, incluindo o Brasil. Só não há prazo oficial para isso acontecer.
Google Play Protect: proteção do Android vai prevenir fraudes financeiras

Google Play Protect: proteção do Android vai prevenir fraudes financeiras
Fonte: Tecnoblog

Hackers usam 3 milhões de escovas de dente inteligentes em novo ataque

7 de fevereiro de 2024

Hackers usam 3 milhões de escovas de dente inteligentes em novo ataque

Cibercriminosos invadiram 3 milhões de escovas de dente para ataque DDoS (Imagem: Vitor Pádua/Tecnoblog)

Três milhões de escovas de dente elétricas inteligentes foram usadas em um ataque DDoS. O caso foi divulgado pelo veículo suíço Aargauer Zeitung, que não revelou as marcas envolvidas e nem a empresa que foi alvo. O jornal apenas informou que o alvo era da Suíça e o ataque DDoS causou um prejuízo de milhões de euros.

Os ataques DDoS utilizam diversos dispositivos com acesso à internet para sobrecarregar um site ou serviço. Com isso, os hackers causam prejuízos ao alvo. Em alguns casos, quando o ataque não é mitigado, o grupo cibercriminoso pode exigir uma quantia para cessar a atividade.

Com mais produtos ganhando conexão com internet, integrando a Internet das Coisas (IoT, sigla em inglês), fica mais acessível invadir dispositivos e criar uma botnet. Essa botnet, formada por milhares de eletrônicos conectados, é então usada pelos cibercriminosos para atacar os alvos.

Escovas inteligentes com vulnerabilidade no sistema operacional

Jornal não divulgou marca das escovas e nem empresa atacada; escovas inteligentes trazem recurso para monitorar escovação (Imagem: Divulgação/Oral-B)

De acordo com o site, os cibercriminosos se aproveitaram de uma vulnerabilidade no sistema operacional das escovas, que é baseado em Java. Você pode estar se perguntando: qual é o objetivo de ter uma escova inteligente? Esses produtos monitoram a escovação e utilizam um app no smartphone para compartilhar essas informações.

Usar 3 milhões de escovas de dentes em um ataque DDoS tem o seu valor cômico. No entanto, com mais empresas investindo em produtos inteligentes, como babás eletrônicas, campainhas, lâmpadas e até micro-ondas, há mais dispositivos que podem ser invadidos. O risco aumenta quando uma empresa não investe na segurança do produto ou se o usuário não atualiza o sistema.

Como ser vítima de um ataque cibernético pode prejudicar a imagem, é pouco provável que a Fortinet divulgue as marcas das escovas e a empresa alvo do DDoS — pelo menos nesse primeiro momento. Se você tem uma escova inteligente e recentemente teve que instalar alguma atualização importante, mande um “alô” para nós.

Invasões para ataques DDoS são mais prováveis

Ataques DDoS se aproveitam de produtos IoT com baixa segurança (Imagem: Vitor Pádua / Tecnoblog)

O caso das invasões às escovas de dentes é um bom gancho para relembramos um especial feito pelo Tecnoblog. No ano passado, publicamos sobre os possíveis riscos de invadir uma webcam.

No texto, Pietro Delai, diretor de pesquisa e consultoria da IDC na América Latina, explica que dispositivos IoT são os principais alvos de invasões, justamente porque podem ser usados em ataques DDoS, como foi o caso das escovas de dentes.

Com informações: Tom’s Hardware, Golem.de e Aargauer Zeitung
Hackers usam 3 milhões de escovas de dente inteligentes em novo ataque

Hackers usam 3 milhões de escovas de dente inteligentes em novo ataque
Fonte: Tecnoblog

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

26 de janeiro de 2024

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Ataque de pulverização de senhas deu acesso a conta sem 2FA (imagem ilustrativa: Vitor Pádua/Tecnoblog)

A Microsoft detalhou um ataque hacker a seus sistemas, que permitiu acesso a e-mails corporativos de lideranças da empresa. A invasão foi possível porque havia uma conta de testes sem autenticação de dois fatores. Foi a partir dela que os atacantes conseguiram acesso às plataformas. A companhia atribui a ação ao grupo russo Midnight Blizzard e alerta que outras organizações estão sob risco.

O ataque foi revelado no último dia 19 de janeiro, quando a Microsoft comunicou o ocorrido à SEC, entidade responsável por fiscalizar o mercado financeiro nos EUA. Nesta sexta (26), a empresa publicou os detalhes em seu blog.

A invasão usou a técnica de pulverização de senha, também conhecida como password spray. Nesta técnica, os hackers usam algumas senhas comum (às vezes, apenas uma) para tentar entrar em várias contas ao mesmo tempo. Segundo a Microsoft, o grupo “adaptou seus ataques de pulverização de senhas a um número limitado de contas, usando poucas tentativas para não ser detectado”.

Deu certo. Os atacantes conseguiram entrar em uma conta de teste legada e não produtiva, nas palavras da própria Microsoft. Isso significa que essa conta não era usada para trabalho, apenas para testes de um ambiente antigo. Ela não contava com autenticação de dois fatores (2FA). Isso teria impedido o ataque.

Com acesso a essa conta, os hackers comprometeram um aplicativo de teste com autenticação OAuth e o utilizaram para conseguir mais acessos nos sistemas da Microsoft.

Lideranças dos departamentos de cibersegurança e legal da Microsoft tiveram seus e-mails acessados (Imagem: Stephen Brashear/Microsoft)

Hackers podem ter atacado outras organizações

A Microsoft diz que o grupo conhecido como Midnight Blizzard foi o responsável pela invasão. Ele também é conhecido como Nobelium, APT29 e Cozy Bear. Suspeita-se que os hackers estejam trabalhando a serviço do Serviço de Inteligência Estrangeiro da Rússia.

A empresa diz que os hackers conseguiram acesso a um número muito pequeno de contas de e-mail corporativo da Microsoft, nas áreas de liderança, cibersegurança e legal. Curiosamente, o objetivo dos hackers parecia ser encontrar informações sobre eles mesmos, para descobrir o que a companhia sabia.

Além disso, a Microsoft afirma que os mesmos atacantes têm atacado outras organizações, que estão sendo notificadas pela empresa. A Hewlett Packard Enterprise, braço da HP dedicado a clientes corporativos, revelou que seu sistema de e-mail também foi hackeado. O serviço é hospedado pela Microsoft. O grupo Midnight Blizzard também foi responsável por este ataque.

Com informações: TechCrunch, Bleeping Computer, The Verge
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA

Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Fonte: Tecnoblog

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

25 de janeiro de 2024

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

Pesquisadores chineses descobriram uma botnet composta por TV boxes infectadas (Imagem: Vitor Pádua / Tecnoblog)

A notícia de uma botnet composta por TV boxes ilegais acendeu o sinal de alerta na Anatel. O conselheiro Artur Coimbra recomendou que os consumidores joguem fora os equipamentos infectados. Ou, nas palavras dele, que “descartem” os dispositivos por causa dos riscos de segurança. Coimbra falou com exclusividade ao Tecnoblog.

O posicionamento do representante da agência ocorre na esteira de uma denúncia feita por um centro de pesquisas chinês. Mais de 1,3 milhão de endereços IP localizados no Brasil estavam em uso por uma botnet. Os equipamentos zumbis continham vírus e outros malwares, de modo que podiam ser acionados remotamente para cumprir inúmeras tarefas.

Os especialistas chinesesdizem que a maioria das TV boxes e dos IPs encontrados é do Brasil. São Paulo é o estado com mais aparelhos infectados, seguido pelo Rio de Janeiro. Também foram citados os estados de Amazonas, Tocantins, Paraíba, Alagoas, Sergipe, Paraná e Santa Catarina.

Coimbra me disse que o órgão já tinha indícios de uma atividade suspeita sendo realizada também pela internet brasileira a partir de agosto de 2023. Ele ainda explicou que os provedores de acesso cumpriram diversos protocolos para conter a ameaça.

Sem certificação

Artur Coimbra é conselheiro da Anatel e especialista em regulação (Foto: Divulgação/Kenny Oliveira/Ministério das Comunicações)

“O consumidor muitas vezes não sente na pele os problemas de comprar uma TV box irregular. Ele pode até achar que é legal porque pagou centenas de reais na caixinha. No entanto, não é certificada pela Anatel e ainda permite consumo de conteúdo furtado. Se você tem uma dessas, descarte.”
Artur Coimbra – Conselheiro da Anatel

Ele ainda recomendou que os usuários busquem pelo selo da agência antes de fechar a compra de uma nova TV box. Existem diversas opções em conformidade com a lei brasileira. No entanto, as TV boxes ilegais se tornaram febre por destravarem o acesso a plataformas de streaming e canais da TV por assinatura.

Sistema Android TV

Coimbra lembrou que as TV boxes com sistema Android TV (ou mesmo Android, em alguns casos) podem até rodar um sistema desenvolvido por uma grande empresa, no caso o Google, mas não contam com mecanismos básicos de proteção. Elas não costumam receber os pacotes de segurança mais recentes, por exemplo.

O laboratório antipirataria da Anatel já encontrou cavalos de Troia e backdoors embarcadas em unidades de TV box irregular, de acordo com um levantamento de 2022. Com isso, atacantes conseguem controlar remotamente os aparelhos e ainda podem ter acesso aos demais aparelhos na rede doméstica daquele consumidor.

Coimbra disse que a comunicação das TV boxes irregulares com a internet não recebe o mesmo tipo de criptografia visto nos aparelhos regulares. Ou seja, em tese seria possível interceptar e ler os dados.
TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados

TV box ilegal: Anatel recomenda jogar fora os aparelhos infectados
Fonte: Tecnoblog

26 bilhões de contas aparecem em maior vazamento da história

23 de janeiro de 2024

26 bilhões de contas aparecem em maior vazamento da história

Pacotão de contas vazadas foi disponibilizado por hackers — ou um único hacker (imagem ilustrativa: Vitor Pádua/Tecnoblog)

Um pacote de 26 bilhões de dados foi encontrado pela Security Discovery, um grupo de cibersegurança. O grande número é resultado da compilação de informações de vazamentos anteriores — e é praticamente certo que há dados duplicados. A maior parte das informações é oriunda de um leak da Tencent, mas também há registros de órgãos públicos do Brasil.

O maior risco desse compilado de contas está relacionado com senhas repetidas. Os possíveis compradores ou grupo cracker que está com o pacotão de dados pode usar as senhas vazadas para tentar entrar em outras contas — ainda que essas informações sejam antigas.

Por exemplo, existem 251 milhões de contas do LinkedIn nesse pacote e 281 milhões do Twitter. Em 2016, 164 milhões de contas da plataforma tiveram suas senhas vazadas. O usuário que trocou a senha do LinkedIn na época, mas ainda usa o mesmo código em outro serviço está em risco. Assim, um cibercriminoso pode tentar usar a senha do LinkedIn no Twitter, já que alguns emails dos usuários foram vazados em 2022.

Serviços chineses são as maiores fontes

Mais de 2 bilhões das contas vazadas são de empresas chinesas (Imagem: Vitor Pádua/Tecnoblog)

A Tencent QQ, serviço de mensagem da empresa, e Weibo são as plataformas com maiores números de dados vazados. A Tencent tem 1,5 bilhão de contas no pacote, enquanto o Weibo tem 504 milhões. Fechando o top 5 temos, respectivamente, MySpace (360 milhões), Twitter (281 milhões) e Wattpad (271 milhões).

O Tecnoblog entrou em contato com a Security Discovery para saber se o pacote está à venda ou apenas foi um achado da equipe. A matéria será atualizada quando a empresa responder.

É provável que o megavazamento de 223 milhões de CPFs não integre a lista, já que as 18 maiores fontes não incluem o Brasil — e o Badoo, 18º lugar, é fonte de 127 milhões de dados. No entanto, o ConecteSUS e a Caixa Econômica Federal já foram alvo de hackers no passado, sem vazamentos de grandes proporções.

No site da CyberNews existe uma ferramenta para pesquisar a origem dos dados. A Petrobras, SPTrans e USP são algumas das fontes listadas. Entre as empresas privadas do Brasil estão a Descomplica (vazamento em 2021), Vakinha (vazamento em 2020) e CCAA.

Para conferir se os seus emails foram vazados através do site Have I Been Pwned?, que registra contas vítimas desses cibercrimes. Como os 26 bilhões de dados são um “combo” de vazamento anteriores, você pode checar se seu email integra algum dos bancos de dados divulgados pela Cyber Security.

Vazamento de 2021 da Descomplica foi reaproveitado nesse pacote de 26 bilhões de contas (Imagem: Reprodução/Have I Been Pwned?)

18 maiores fontes de dados do vazamento

Tencent – 1,5 bilhão

Weibo – 504 milhões

MySpace – 360 milhões

Twitter – 281 milhões

Wattpad – 271 milhões

NetEase – 261 milhões

Deezer – 258 milhões

LinkedIn – 251 milhões

AdultFriendFinder – 220 milhões

Zynga – 217 milhões

Luxottica – 206 milhões

Evite – 179 milhões

Zing – 164 milhões

Adobe – 153 milhões

MyFitnessPal – 151 milhões

Canva – 143 milhões

JD.com – 142 milhões

Badoo – 127 milhões

Com informações: Tom’s Guide
26 bilhões de contas aparecem em maior vazamento da história

26 bilhões de contas aparecem em maior vazamento da história
Fonte: Tecnoblog

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

5 de janeiro de 2024

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Sequestro de BGP ativou sistemas de proteção e derrubou rotas da Orange Espanha (Imagem: JJ Ying/Unsplash)

A Orange Espanha, segunda maior operadora do país, ficou sem sinal na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. A ação só foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.

O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.

O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central. A título de curiosidade, quem faz isso aqui na América Latina e no Caribe é o LACNIC.

Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.

Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.

A senha da conta RIPE era… “ripeadmin”

Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.

Senha da Orange Espanha no sistema da RIPE NCC era “ripeadmin” (Imagem ilustrativa: TheDigitalWay/Flickr)

A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.

No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.

Snow ainda fez piada no X. Em um post, ela mencionou a conta da Orange Espanha e disse “Eu consertei a segurança da sua conta de administrador da RIPE. Mande uma mensagem para eu passar as novas credenciais”.

A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.

Com informações: Ars Technica, Bleeping Computer
Senha ridiculamente fácil faz operadora espanhola ficar sem serviço

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço
Fonte: Tecnoblog

LastPass adota de vez senha mestre de 12 caracteres

4 de janeiro de 2024

LastPass adota de vez senha mestre de 12 caracteres

LastPass exigirá que todos os clientes utilizem uma senha mestra de 12 caracteres (Imagem: Emerson Alecrim/Tecnoblog)

A LastPass, empresa de gerenciamento de senhas, divulgou nesta semana uma atualização para a criação de senha mestre. Agora, todos os clientes terão que usar uma senha mestre de no mínimo 12 caracteres. Isso já era uma exigência da empresa desde 2018, mas quem criou uma conta antes disso e nunca a atualizou pode estar com uma senha menor e menos segura.

No comunicado em que informa sobre a mudança, a LastPass destaca que o mínimo de caracteres exigido é maior do que o recomendado pela NIST, órgão americano equivalente à ABNT, que sugere uma senha de oito caracteres ou mais. De fato, as regras de senha da LastPass são melhores para a criação de uma senha difícil de ser quebrada — mais do que caracteres especiais, é importante que a sua senha seja longa.

LastPass obrigará uso de senha mestra de 12 caracteres

Senhas mais longas são mais seguras e LastPass finalmente fará seus usuários seguirem a medida de segurança (Imagem: Vitor Pádua/Tecnoblog)

A partir dos próximos dias, usuários dos planos pessoais (gratuito, premium e família) do LastPass receberão emails informando que eles devem atualizar a senha mestra para atender a nova regra do serviço. Em seguida, a notificação será enviada para os clientes dos planos Teams e Business, que atendem empresas.

A nova regra de senha mestra do LastPass segue o que é padrão em outros serviços: além de ter no mínimo 12 caracteres, é obrigatório que haja, pelo menos, um caractere especial, um número, uma letra minúscula e uma letra maiúscula. De acordo com um estudo da Home Security Heroes, uma combinação desse tipo e com 12 caracteres pode levar 2 mil anos para ser quebrada por uma inteligência artificial.

LastPass sofreu com vazamento de senhas em 2022

Em 2022, a LastPass foi vítima de dois ataques. O primeiro, em agosto, roubou código fonte da empresa. Meses depois, em novembro, esse código foi usado para invadir a nuvem de armazenamento do serviço, o que gerou um caso mais grave, no qual o backup do cofre dos usuários foi roubado. Mesmo com senhas, esses cofres poderiam ser invadidos através de ataques de força-bruta.

Com informações: The Verge e BleepingComputer
LastPass adota de vez senha mestre de 12 caracteres

LastPass adota de vez senha mestre de 12 caracteres
Fonte: Tecnoblog

Como controlar a exibição de conteúdo sensível no Instagram

26 de dezembro de 2023

Como controlar a exibição de conteúdo sensível no Instagram

Instagram tem filtro para exibição de conteúdo sensível (Imagem: Vitor Pádua/Tecnoblog)

Um conteúdo sensível no Instagram é aquele que não viola as diretrizes da comunidade, mas que pode ser desconfortável ou impróprio para algumas pessoas. O Instagram permite ajustar o algoritmo de recomendação para ver menos conteúdos sensíveis no feed ou na aba “Explorar”.

Os conteúdos que são potencialmente sensíveis estão englobados nas diretrizes de recomendações do Instagram. Eles podem envolver tópicos como violência (pessoas brigando), nudez (pessoas com roupas transparentes) ou saúde (procedimentos cosméticos).

Quando um usuário se depara com um conteúdo delicado no Instagram, a rede social oculta essa publicação com um aviso de conteúdo sensível e deixa o usuário escolher se deseja ver ou pular. Esse ajuste é feito automaticamente pela plataforma e não pode ser retirado ou colocado pelo usuário.

A seguir, veja como ajustar seu Instagram para bloquear conteúdo sensível.

Índíce1. Acesse seu perfil no Instagram2. Toque no menu para acessar as configurações de privacidade3. Selecione a opção “Sugestão de conteúdo” do Instagram4. Toque em “Conteúdo Sensível”5. Defina a quantidade de conteúdo sensível que deseja ver no InstagramPosso bloquear todo conteúdo sensível no Instagram?Adolescentes podem ver conteúdo sensível no Instagram?Dá para bloquear outros tipos de conteúdo no Instagram?Qual é a diferença entre conteúdo sensível e impróprio no Instagram?O Instagram permite “perfis +18”?

1. Acesse seu perfil no Instagram

Abra o app do Instagram no seu celular Android ou iPhone e toque na sua foto no canto inferior da tela para visualizar o seu perfil.

2. Toque no menu para acessar as configurações de privacidade

Toque no botão com três riscos horizontais no canto superior direito da tela do app para abrir o menu de configurações do Instagram. Então, toque na opção “Configurações e privacidade”.

3. Selecione a opção “Sugestão de conteúdo” do Instagram

Desça a tela do app do Instagram e toque a opção “Sugestão de conteúdo” na seção “O que você vê”.

4. Toque em “Conteúdo Sensível”

Selecione a opção “Conteúdo Sensível” dentro da seção “Conteúdo sugerido que você pode ver”. Se for a primeira vez que você acessa a área no app, leia a explicação das diretrizes e toque no botão azul “Continuar”.

5. Defina a quantidade de conteúdo sensível que deseja ver no Instagram

O Instagram tem três níveis de filtro de conteúdo sensível: Mais, Padrão e Menos. Você pode determinar a quantidade de publicações sugeridas com aviso de conteúdo sensível que serão exibidos na aba “Explorar”, no Reels e no feed da rede social. Essa configuração também é válida para o Threads.

Posso bloquear todo conteúdo sensível no Instagram?

Não. O Instagram permite ajustar o nível de visualização de conteúdo sensível entre “Mais”, “Padrão” e “Menos”. Porém, todas as opções consideram a possibilidade de exibição de conteúdo marcado como sensível.

Adolescentes podem ver conteúdo sensível no Instagram?

Sim. No entanto, o Instagram afirma que perfis de pessoas menores de 16 anos só podem escolher entre as opções de ver “Menos” conteúdo sensível e “Padrão”, sendo “Menos” a escolha recomendada pela própria rede social.

Dá para bloquear outros tipos de conteúdo no Instagram?

Sim. Você pode bloquear a sugestão de posts de assuntos específicos no Instagram. A rede social deixa criar uma lista de palavras, frases ou emojis que serão ocultados nas publicações sugeridas. Entretanto, a funcionalidade não bloqueia as publicações de pessoas que você segue, mesmo que o conteúdo use palavras ou termos bloqueados.

Qual é a diferença entre conteúdo sensível e impróprio no Instagram?

O Instagram diferencia conteúdos sensíveis (que são permitidos na plataforma) de conteúdos impróprios (que são proibidos):

Conteúdo sensível: posts com imagens relacionadas à saúde (procedimentos médicos e cosméticos), violência (indivíduos brigando) ou nudez sugestiva (pessoas com roupas transparentes). Essas publicações são exibidas para os usuários com um aviso antes de mostrar a foto ou o vídeo;

Conteúdo impróprio: publicações que contêm imagens explicitamente violentas e/ou sexuais ou tragam informações falsas e enganosas (fake news). Condições que ferem as diretrizes da comunidade do Instagram. O material é excluído e a conta pode ser punida se for uma ação recorrente.

O Instagram permite “perfis +18”?

Não. O Instagram não permite perfis com conteúdo adulto. Posts com nudez explícita ou atividades sexuais são removidos por questões de segurança dos usuários no Instagram. A rede social também usa algoritmos para evitar que os conteúdos sexuais explícitos ou sugestivos sejam exibidos para pessoas menores de 16 anos.
Como controlar a exibição de conteúdo sensível no Instagram

Como controlar a exibição de conteúdo sensível no Instagram
Fonte: Tecnoblog

Empresa de marketing alega ouvir conversas para direcionar anúncios

15 de dezembro de 2023

Empresa de marketing alega ouvir conversas para direcionar anúncios

CMG afirma que smartphones e smart TVs podem ser usados para escutar conversas (Imagem: Unspalsh/Priscilla Du Preez)

Uma equipe da empresa de marketing Cox Media Group (CMG) alega ter capacidade técnica para ouvir conversas de consumidores por meio de microfones em celulares, smart TVs e outros aparelhos. A companhia, porém, não apresentou evidências de que realmente consegue fazer isso.

O assunto foi descoberto pelo site 404 Media. A reportagem teve acesso a materiais de vendas da empresa e uma apresentação de um representante. No LinkedIn, outro vendedor dizia para interessados na tecnologia entrarem em contato.

Por enquanto, ainda não está claro se a CMG está realmente oferecendo um produto com esta capacidade técnica ou se ela está apenas se aproveitando de uma antiga suspeita (até agora sem uma evidência conclusiva) para atrair clientes com pouco conhecimento na área.

O Tecnoblog vai acompanhar o desenvolvimento desta história e trará novas informações assim que surgirem.

Empresa não dá detalhes sobre como ouve conversas

A CMG anuncia seu produto como capaz de “direcionar propaganda exatamente para as pessoas que você procura”. Isso seria feito com base nas conversas do dia a dia.

A empresa menciona frases como “Você viu o mofo no teto?” e “Precisamos pensar seriamente em planejar nossa aposentadoria” como gatilhos para identificar alvos de propaganda.

No entanto, ela não explica como faz isso — se é usando um app ou oferecendo um kit de desenvolvimento, por exemplo. Também não diz se a tecnologia que ela alega possuir já está funcionando. O material de vendas afirma que é uma “técnica de marketing preparada para o futuro. Disponível agora”.

CMG não explica como consegue as conversas (Imagem: Andrew Guan/Unsplash)

A CMG também alega que a coleta seria legal, já que os usuários dão consentimento ao aceitar termos e condições para baixar atualizações ou apps.

Procurada pela 404 Media, a CMG não comentou o assunto.

Suspeita é antiga, mas nenhuma evidência definitiva foi encontrada

A suspeita de que smartphones e outros smart aparelhos escutam nossas conversas vem de longa data e deixa muita gente desconfiada.

Até agora, empresas como Apple e Meta negaram este tipo de prática, e os mais céticos dizem que seria impossível processar quantidades enormes de áudio sem que o usuário notasse, já que isso teria impacto no consumo de dados ou na bateria.

Grande parte dessa suspeita vem de relatos anedóticos, contados de pessoas que viram propagandas de algum produto na internet após falarem daquele mesmo assunto em uma conversa presencial.

Isso, porém, pode ser explicado pela grande quantidade de dados que as empresas têm sobre nós: cookies, histórico de buscas, interações em redes sociais, informações sobre nossos aparelhos, geolocalização e muito mais. Com tantas informações, nem seria necessário gravar conversas para adivinhar do que estamos falando.

Mesmo assim, alguns casos já chamaram atenção. O app oficial do campeonato espanhol, por exemplo, usava geolocalização e o microfone do celular para identificar transmissões ilegais das partidas da competição.

Com informações: 404 Media, Gizmodo
Empresa de marketing alega ouvir conversas para direcionar anúncios

Empresa de marketing alega ouvir conversas para direcionar anúncios
Fonte: Tecnoblog

« First‹ Previous89101112Next ›Last »