Category: Segurança e Privacidade

Prompt injection: entenda a vulnerabilidade nas IAs generativas

24 de outubro de 2025

Prompt injection: entenda a vulnerabilidade nas IAs generativas

Prompt injection explora vulnerabilidades de IAs generativas baseadas em LLMs (Imagem: Aerps.com/Unsplash)

Prompt injection ou injeção de prompt é uma ameaça que mira Modelos de Linguagem em Grande Escala (LLMs), de modo a enganar essas aplicação para a execução de comandos não autorizados pelas vítimas.

Modelos de inteligência artificial generativa têm dificuldade de diferenciar regras de desenvolvedores e prompts de entrada de usuários. Cibercriminosos então exploram essa brecha ao enviar códigos maliciosos para que LLMs mudem o comportamento e executem ações não autorizadas.

Qualquer aplicação baseada em LLM é vulnerável a um ataque de prompt injection. Nesse contexto, IAs generativas (como ChatGPT e Google Gemini) ou mesmo navegadores de IA generativa (a exemplo do ChatGPT Atlas ou Comet) são os principais alvos dessa ameaça.

A seguir, entenda melhor o que é e como funciona o prompt injection, e confira os principais riscos desse vetor de ataque.

ÍndiceO que é prompt injection?Como funcionam os ataques de prompt injection?Quais são os tipos de prompt injection?Quais ferramentas são vulneráveis ao prompt injection?Quais são os riscos do prompt injection?Um ataque de prompt injection pode roubar meus dados?Tem como identificar um ataque de prompt injection?É possível se proteger de um ataque de prompt injection?Qual é a diferença entre prompt injection e jailbreak?

O que é prompt injection?

Prompt injection ou injeção de prompt é uma ameaça que explora vulnerabilidades de Modelos de Linguagem em Grande Escala (LLMs), de modo a induzir com que ferramentas de inteligência artificial generativa ignorem as instruções originais e executem comandos não autorizados pelo usuário.

Como funcionam os ataques de prompt injection?

Para entender o funcionamento de um ataque de prompt injection, é necessário compreender uma vulnerabilidade em IA generativa que é explorada no processo.

Basicamente, Modelos de Linguagem em Grande Escala são treinados com conjuntos de instruções para padronização de comportamento diante das entradas dos usuários. O grande problema é que IAs generativas não conseguem distinguir a autoria de regras de comportamento, prompts de usuários e conteúdos externos, já que todos têm o formato de texto em linguagem natural.

Sabendo disso, invasores e hackers encontram meios (diretos ou indiretos) para enviar instruções maliciosas às ferramentas de IA. As instruções geralmente são confundidas com regras de comportamento legítimas, fazendo com que as LLMs sigam as ordens e executem os comandos.

Abaixo, segue uma demonstração de ataque prompt injection em um navegador com IA, divulgada pela equipe de cibersegurança da Brave.

Esses comandos maliciosos geralmente envolvem vazamentos de dados sensíveis ou ações de nível de administrador. E como resultado dos ataques de injeção de prompt, os cibercriminosos podem coletar dados das vítimas e alterar o comportamento da IA generativa, sem que as LLMs entendam as instrução como ilegítimas.

Quais são os tipos de prompt injection?

Os ataques de injeção de prompt são classificados de acordo com os métodos utilizados no processo. Os principais tipos dessa ameaça abrangem:

Injeção direta: nesse tipo de ataque, o cibercriminoso insere um prompt malicioso no campo de entrada de uma ferramenta de IA; se a ação for bem-sucedida, o prompt será entendido como instrução do sistema, e a aplicação ficará comprometida; a ferramenta de IA generativa então vai executar comandos ou gerar respostas específicas com base nas regras impostas pelo prompt malicioso.

Injeção indireta: no ataque de injeção de prompt indireto, hackers ocultam instruções maliciosas em páginas da web, fotos, PDFs e outros documentos; quando um usuário pede para a IA generativa ler esses documentos, essas instruções maliciosas são interpretadas e comandos não consentidos são executados.

Injeção de código: nesse ataque, o cibercriminoso utiliza e manipula as próprias LLMs para que elas gerem e executem códigos maliciosos; o hacker então pode coletar dados acessíveis pela IA, executar comandos à distância ou explorar níveis mais restritos da ferramenta, dependendo dos casos.

Injeção recursiva: exploração de sistemas que usam múltiplos LLMs ou vários processamentos em sequência; depois que o prompt malicioso é injetado na primeira camada, as saídas apresentam novas instruções ou comandos maliciosos que enganam os LLMs ou processamentos subsequentes.

Quais ferramentas são vulneráveis ao prompt injection?

Qualquer aplicação baseada em Modelos de Linguagem em Grande Escala (LLMs) são vulneráveis ao prompt injection, uma vez que a ameaça explora brechas no entendimento de linguagem natural por essas ferramentas.

Logo, as aplicações vulneráveis ao prompt injection envolvem ferramentas de inteligência artificial generativa (como ChatGPT e Google Gemini), navegadores com IA embarcada (a exemplo do ChatGPT Atlas, Comet e Fellou), e qualquer outro software ou API com integração a IAs generativas.

Quais são os riscos do prompt injection?

A entidade Open Web Application Security Project (OWASP) classifica o prompt injection como a principal vulnerabilidade de LLMs. E dentre os riscos desse tipo de ataque, estão:

Manipulação do modelo de IA: injeções de prompt são capazes de modificar as regras de desenvolvedor das ferramentas de IA, de modo a alterar o comportamento das aplicações diante de situações específicas.

Roubo de dados: ao interpretar o código malicioso, a ferramenta de IA pode revelar credenciais, senhas bancárias, e outros dados sensíveis.

Execução de códigos à distância: cibercriminosos podem abusar da injeção de código para a execução de comandos e programas maliciosos.

Propagação de ameaças: em determinadas situações, ataques de prompt injection podem executar comandos não consentidos para disseminar arquivos infectados com malware ou outras ameaças.

Vazamento de prompts: dependendo da injeção de prompt utilizada, a LLM pode expor prompts do sistema e facilitar a criação de novos códigos maliciosos com base nas informações obtidas.

Cibercriminosos podem abusar de vários métodos maliciosos a partir de um ataque prompt injection (Imagem: Towfiqu barbhuiya/Unsplash)

Um ataque de prompt injection pode roubar meus dados?

Sim. Em um ataque prompt injection, um código malicioso pode ser interpretado como um simples prompt em IA generativa seu, e fazer com que a LLM envie seus dados sensíveis para um diretório do cibercriminoso.

Nessas situações, é comum que o código malicioso contenha regras para ignorar quaisquer instruções anteriores, e enviar senhas salvas, credenciais e outras informações para um e-mail, por exemplo.

Tem como identificar um ataque de prompt injection?

Sim. Respostas desconexas, ações inesperadas (e não consentidas) e comportamentos estranhos de LLMs são indícios de que você foi ou está está sendo alvo de um ataque de prompt injection. Se os comportamentos inadequados persistirem por um tempo e mesmo após o reinício das aplicações, as chances são ainda mais evidentes.

Nessas situações, vale interromper o uso da LLM e contatar técnicos ou especialistas de segurança em modelos de linguagem. Vale também entrar em contato com os desenvolvedores da aplicação para reportar o caso e solicitar ajuda nas investigações e possíveis resoluções do caso.

É possível se proteger de um ataque de prompt injection?

Sim. Para reforçar a proteção contra prompt injection, é recomendável que você desconfie de links e documentos desconhecidos, e evite de solicitar que a aplicação de IA leia esses tipos de arquivos. Lembre-se que os comandos maliciosos podem estar ocultos, e você não necessariamente conseguirá vê-los.

Vale também evitar o envio de textos com formatações estranhas ou prompts externos dos quais você não é capaz de analisar às LLMs. Isso sem contar a recomendação de não compartilhar dados sensíveis (como número de documento, senhas, dados bancários, entre outras informações) com a aplicação de IA.

É importante ter em mente que essas recomendações podem ajudar na proteção contra ataques prompt injection, mas as principais ações devem partir das próprias desenvolvedoras. São as donas das LLMs que devem encontrar maneiras de reforçar a segurança de suas aplicações e assegurar seus usuários contra injeção de prompt ou quaisquer outras ameaças.

Qual é a diferença entre prompt injection e jailbreak?

O prompt injection é uma ameaça em que instruções maliciosas interpretadas por LLMs se disfarçam de prompts de entrada legítimos ou regras de desenvolvedor. Com isso, LLMs executam comandos não autorizados, achando que as instruções foram orientadas pelos usuários ou pelos desenvolvedores do sistema.

Já o jailbreak é um tipo de ataque que tenta persuadir a LLM a reduzir ou desativar suas camadas de segurança cibernética. Nesses casos, cibercriminosos induzem a aplicação de IA generativa a atuar sem regras ou sistemas de proteção, o que facilita a execução de diferentes tipos de ataques.
Prompt injection: entenda a vulnerabilidade nas IAs generativas

Prompt injection: entenda a vulnerabilidade nas IAs generativas
Fonte: Tecnoblog

Navegador promete privacidade, mas age como espião a serviço de criminosos

24 de outubro de 2025

Navegador promete privacidade, mas age como espião a serviço de criminosos

Universe Browser tem conexões suspeitas e instala programas silenciosamente (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Pesquisadores apontam que o navegador Universe Browser envia dados e comandos a servidores na China, Hong Kong e Taiwan.

O navegador instala extensões e programas ocultos, monitorando atividades do usuário.

Segundo a Infoblox, também há ligação do browser com o grupo Vault Viper, envolvido em crimes cibernéticos e exploração de trabalhadores.

Pesquisadores de cibersegurança descobriram que o navegador Universe Browser direciona o tráfego de internet para servidores na China, instala programas sem conhecimento do usuário, monitora o teclado e altera as conexões do dispositivo. Ironicamente, o programa se apresenta como capaz de “evitar vazamentos de privacidade” e manter os usuários “longe do perigo”.

Os achados são da empresa de segurança de redes Infoblox, que trabalhou com o Escritório das Nações Unidas sobre Drogas e Crime (UNODC, na sigla em inglês) nessa tarefa. A investigação também encontrou ligações com uma rede de crimes cibernéticos do Sudeste Asiático, que envolve lavagem de dinheiro, jogos de azar ilegais, tráfico humano e trabalhos forçados.

O que o Universe Browser faz no seu computador?

O navegador tem versões para Windows e Android, distribuídas por download direto, além de estar disponível para iOS na App Store da Apple.

Usando engenharia reversa na versão do Universe Browser para Windows, os pesquisadores encontraram diversas ferramentas similares às presentes em malware, além de técnicas para fugir da detecção de antivírus.

Universe Browser imita o Chrome, mas bloqueia vários recursos (imagem: reprodução/Infoblox)

Um desses comportamentos é obter imediatamente a localização do usuário, idioma usado e se o programa está rodando em uma máquina virtual. Depois disso, ele espera algum tempo antes de se conectar a endereços de IP na China, em Hong Kong e em Taiwan. Esses endereços são ligados ao grupo criminoso por trás do navegador, conhecido como Vault Viper.

O browser imita o Google Chrome, mas ferramentas de desenvolvedor e configurações ficam inacessíveis para o usuário — nem mesmo o clique com o botão direito do mouse funciona.

O Universe Browser também instala vários programas persistentes que rodam silenciosamente em segundo plano. Além disso, duas extensões acompanham o pacote. Uma serve para enviar prints para um domínio ligado aos criminosos. A outra, de acordo com a análise da Infoblox, serve para detectar se o usuário está navegando em algum site de jogos de azar ligado ao Vault Viper.

O que os criminosos pretendem com o navegador?

A Infoblox observou que o Universe Browser é anunciado em sites ligados a uma mesma empresa desenvolvedora de jogos para cassinos online, que estaria ligada ao grupo Vault Viper.

Navegador busca atrair jogadores (imagem: reprodução/Infoblox)

O atrativo usado é a capacidade de driblar restrições impostas por países asiáticos a jogos de azar pela internet. “Cada site de cassino operado [pelo grupo] tem um link e uma propaganda [para o Universe Browser]”, diz Maël Le Touz, da Infoblox, em entrevista à Wired.

Os pesquisadores acreditam que esses sejam os alvos dos agentes maliciosos. “Este navegador poderia servir como uma ferramenta perfeita para identificar jogadores ricos e obter acesso a suas máquinas”, diz o relatório da companhia.

Ao longo dos últimos anos, o Vault Viper também esteve relacionado com grupos criminosos que recrutaram centenas de milhares de pessoas de mais de 60 países, forçando-as a trabalhar em “fábricas de golpes” no Sudeste Asiático, em países como Mianmar, Laos e Camboja. Parte desses golpes consiste justamente em atrair interessados em jogos de azar para extorquir dinheiro deles.
Navegador promete privacidade, mas age como espião a serviço de criminosos

Navegador promete privacidade, mas age como espião a serviço de criminosos
Fonte: Tecnoblog

Função do Microsoft Teams vai contar ao seu chefe se você está no escritório

24 de outubro de 2025

Função do Microsoft Teams vai contar ao seu chefe se você está no escritório

Atualização de controle de presença automático chegará ao Microsoft Teams (imagem: Emerson Alecrim/Tecnoblog)

Resumo

O Microsoft Teams identificará automaticamente a localização do usuário ao conectar-se ao Wi-Fi corporativo, atualizando o status para indicar se está no escritório.
A função visa melhorar a comunicação em equipes híbridas, mas levanta preocupações sobre privacidade e monitoramento dos funcionários.
O lançamento está previsto para dezembro de 2025, e a Microsoft não detalhou como a função será implementada ou as políticas de privacidade associadas.

O Microsoft Teams está prestes a ganhar uma polêmica atualização que promete facilitar o controle de presença, mas que também pode causar desconforto entre os trabalhadores. A empresa revelou que a plataforma vai identificar automaticamente quando o usuário estiver no escritório, atualizando o status de localização assim que o dispositivo se conectar ao Wi-Fi corporativo.

A novidade pretende reduzir a confusão sobre onde cada colaborador está – remoto ou presencial –, mas também levanta preocupações sobre privacidade e monitoramento. O recurso pode deixar em evidência quem prefere um dia de trabalho mais tranquilo no escritório ou quem alterna entre ambientes sem informar o time.

Como funciona o novo recurso do Teams

Segundo o anúncio oficial, o recurso será integrado ao próprio Teams e será ativado sempre que o aplicativo identificar o acesso à rede da empresa, exibindo o local de trabalho correspondente. Ele irá “refletir o prédio em que estão trabalhando”, segundo a Microsoft.

Por enquanto, a empresa não detalhou como a função será implementada, se haverá controle manual sobre a visibilidade dessas informações ou quais políticas de privacidade acompanharão o recurso. O lançamento está previsto para dezembro de 2025, e a ferramenta ainda se encontra em fase de desenvolvimento.

Microsoft testa os limites entre segurança e privacidade (ilustração: Vitor Pádua/Tecnoblog)

Recurso útil ou invasivo?

A proposta de automatizar o status de localização no Teams tem o objetivo de melhorar a comunicação entre equipes híbridas, tornando mais fácil saber quem está disponível presencialmente. No entanto, a medida pode gerar incômodo entre funcionários que veem na automação um passo a mais no monitoramento corporativo.

A atualização faz parte de uma série de melhorias recentes da Microsoft para aumentar a produtividade dentro do Teams. Nos últimos meses, a plataforma recebeu atalhos de teclado personalizáveis, a função de salvar mensagens específicas em conversas e novos modos de anotação no Chat Notes.
Função do Microsoft Teams vai contar ao seu chefe se você está no escritório

Função do Microsoft Teams vai contar ao seu chefe se você está no escritório
Fonte: Tecnoblog

ChatGPT Atlas levanta alertas sobre segurança em navegadores com IA

23 de outubro de 2025

ChatGPT Atlas levanta alertas sobre segurança em navegadores com IA

ChatGPT Atlas é o novo navegador da OpenAI (imagem: divulgação)

Resumo

O lançamento do ChatGPT Atlas expôs vulnerabilidades em navegadores com IA, incluindo Comet e Fellou, segundo relatório da Brave.
As falhas permitem que sites executem comandos ocultos por meio de imagens ou textos invisíveis, comprometendo dados e contas.
A OpenAI adotou o framework Guardrails para mitigar riscos, mas especialistas alertam que a segurança ainda é insuficiente diante do avanço da automação de agentes.

O lançamento do ChatGPT Atlas, novo navegador da OpenAI voltado para automação de tarefas, trouxe à tona uma série de preocupações sobre segurança em navegadores com inteligência artificial. Poucos dias após a estreia da ferramenta para macOS, pesquisadores da Brave Software — empresa conhecida pelo navegador voltado à privacidade — divulgaram um relatório revelando vulnerabilidades críticas nesse tipo de tecnologia.

As falhas afetam não apenas o ChatGPT Atlas, mas também outros navegadores com IA, como Comet (da Perplexity) e Fellou, demonstrando que o problema é sistêmico. Segundo os especialistas, uma brecha de segurança conhecida como prompt injection pode permitir que hackers executem comandos escondidos em páginas da web, comprometendo arquivos, senhas e contas bancárias.

Como funcionam as falhas encontradas?

A equipe do Brave identificou diferentes formas de ataque envolvendo o uso indevido de comandos embutidos em conteúdo visual ou textual. No caso do Comet, por exemplo, instruções quase invisíveis podem ser escondidas em imagens de sites. Quando o usuário faz uma captura de tela e solicita ao navegador que analise a imagem, o sistema pode interpretar o texto oculto como uma ordem legítima, permitindo que o invasor execute ações de forma remota.

“A vulnerabilidade de segurança que encontramos no navegador Comet […] não é um problema isolado. Injeções indiretas de prompts são um problema sistêmico enfrentado pelo Comet e outros navegadores com tecnologia de IA”, alertou a Brave em publicação no X.

The security vulnerability we found in Perplexity’s Comet browser this summer is not an isolated issue.Indirect prompt injections are a systemic problem facing Comet and other AI-powered browsers.Today we’re publishing details on more security vulnerabilities we uncovered.— Brave (@brave) October 21, 2025

Um cenário semelhante foi observado no Fellou, onde simplesmente acessar um site malicioso já bastava para que o navegador processasse instruções escondidas no conteúdo da página. Isso acontece porque alguns navegadores enviam automaticamente os textos das páginas para o modelo de linguagem da IA — sem distinguir o que vem do usuário do que vem do site.

Segundo os pesquisadores, esse tipo de vulnerabilidade quebra as bases tradicionais de segurança da web, como a política de mesma origem (same-origin policy). Isso porque os navegadores de IA operam com os mesmos privilégios autenticados do usuário — ou seja, um simples comando disfarçado pode ter acesso a contas bancárias, emails corporativos ou dados confidenciais.

“Se você estiver conectado a contas confidenciais, como seu banco ou seu provedor de e-mail, no navegador, simplesmente resumir uma publicação do Reddit pode fazer com que um invasor roube dinheiro ou seus dados privados”, explicaram os especialistas no relatório.

A Brave destacou que, enquanto melhorias estruturais não forem implementadas, o chamado agentic browsing – navegação assistida por agentes de IA —–continuará intrinsecamente inseguro. A recomendação é que navegadores mantenham essas funções isoladas da navegação comum, exigindo confirmação explícita do usuário antes de qualquer ação sensível.

O ChatGPT Atlas trouxe uma série de preocupações sobre segurança em navegadores com inteligência artificial (imagem: OpenAI)

Repercussão no mercado

A OpenAI, por sua vez, já havia implementado o framework de segurança Guardrails, lançado em 6 de outubro junto ao AgentKit, conjunto de ferramentas voltado a desenvolvedores de agentes de IA. A medida busca reduzir o risco de abusos, mas especialistas afirmam que ainda não há solução definitiva para as injeções de prompt.

A empresa de cibersegurança HiddenLayer reforçou a gravidade do problema: mesmo um chatbot aparentemente inofensivo pode ser induzido a abrir documentos privados, enviar emails ou acessar dados sensíveis.

Vale mencionar que, com o avanço de sistemas como o ChatGPT Atlas, Comet e Fellou, cresce a necessidade de protocolos de proteção mais robustos — especialmente diante da capacidade dessas ferramentas de agir de forma autônoma.

Até que medidas universais sejam implementadas, especialistas recomendam cautela: evitar o uso desses navegadores para atividades sensíveis e manter a autenticação em duas etapas ativada em todas as contas. Isso porque ao passo que pode facilitar tarefas diárias, a inteligência artificial amplia a superfície de ataque digital.
ChatGPT Atlas levanta alertas sobre segurança em navegadores com IA

ChatGPT Atlas levanta alertas sobre segurança em navegadores com IA
Fonte: Tecnoblog

O que são cookies? Entenda para que servem os arquivos de sites da web

21 de outubro de 2025

O que são cookies? Entenda para que servem os arquivos de sites da web

Saiba qual é o papel dos cookies enquanto você navega pela internet (imagem: Reprodução/University of Queensland)

Os cookies são pequenos pacotes de dados que os servidores de sites enviam ao navegador e ficam armazenados no dispositivo. Eles funcionam como uma memória temporária, permitindo que as páginas da web se lembrem de informações sobre a visita e preferências dos usuários.

Quando uma pessoa acessa um site, o navegador recebe um cookie do servidor. Em acessos futuros a mesma página ou domínio, o navegador envia esse cookie de volta ao servidor, permitindo que ele reconheça o usuário e personalize o conteúdo ou mantenha a sessão ativa.

Os tipos de cookies HTTP são categorizados pela origem ou duração: os primários são criados pelo próprio site visitado, enquanto os de terceiros vêm de outros domínios para rastreamento e publicidade. Também existem os de sessão (excluídos ao fechar o navegador) e os persistentes (que permanecem por um período definido).

A seguir, entenda melhor o conceito de cookies, para que eles servem e suas principais diferenças. Também descubra quais são os riscos relacionados aos cookies.

ÍndiceO que são cookies?O que significa “cookies”?Para que servem os cookies?Como funcionam os cookies?Quais são os tipos de cookies?Quais são os tipos de cookies HTTP?Quais são os riscos dos cookies?É possível apagar ou bloquear cookies de navegação?Qual é a diferença entre cookies e cache?

O que são cookies?

Cookies são pequenos arquivos de texto armazenados no navegador do dispositivo para guardar informações sobre as visitas do usuário, como detalhes de login e preferências. Eles permitem que as páginas da web ofereçam uma experiência mais personalizada, mas também podem ser usados para rastrear as atividades do usuário.

O que significa “cookies”?

O termo “cookies” é uma abreviação de “magic cookie” (biscoito mágico). Este é um antigo conceito de programação de computadores que se refere a pequenos pacotes de dados trocados entre programas.

O programador Lou Montulli adotou o termo para descrever os dados que um site envia ao navegador para memorizar informações sobre o usuário. Isso permite que a aplicação web se lembre de estados específicos, como o login ativo e preferências, sem ter que armazenar essa informação no servidor da página da web.

O programador Lou Montulli ficou conhecido como o “pai dos cookies” (imagem: Reprodução/Peter Addams)

Para que servem os cookies?

Os cookies de sites servem para que as páginas da web possam se lembrar de informações sobre o usuário, otimizando e personalizando a experiência de navegação. Eles tornam a visita mais fluida e conveniente, eliminando a necessidade de repetir ações ou inserir dados a cada acesso.

Na prática, os cookies são responsáveis por funcionalidades essenciais como manter o login ativo e preservar itens adicionados ao carrinho de compras entre sessões. Eles também armazenam preferências do usuário, como idioma e tema, além de permitir a personalização de conteúdo e publicidade.

Como funcionam os cookies?

Quando uma pessoa visita uma página da web, o servidor do site gera um cookie e o envia ao navegador do usuário. Este arquivo contém dados específicos como os detalhes de login ou configurações de idioma.

Em seguida, o navegador armazena este cookie de forma segura no dispositivo do usuário, geralmente em um local dedicado. Esse armazenamento é essencial para que o estado da sessão e as preferências possam ser mantidas em diferentes visitas ao site.

Mais tarde, ao retornar à mesma página ou navegar para outra parte do domínio, o navegador reenvia o cookie armazenado ao servidor automaticamente. Esta comunicação é silenciosa e acontece a cada nova solicitação HTTP para o site.

O servidor recebe o cookie e usa os dados contidos para reconhecer o usuário e customizar a experiência imediatamente. Assim, a navegação se torna contínua, mantendo o usuário logado e aplicando as configurações previamente definidas.

Ciclo de funcionamento dos cookies (imagem: Reprodução/CookieYes)

Quais são os tipos de cookies?

Existem dois tipos principais de cookies, cada um aplicado em diferentes casos:

Magic cookies: é um antigo termo de computação para pacotes de dados enviados e recebidos sem alteração do conteúdo. Tipicamente eram usados para autenticação em sistemas internos de banco de dados ou em redes corporativas para validar login de usuários;

HTTP cookies: são os cookies de navegador, uma adaptação do magic cookie para navegação na internet moderna e rastreamento de estado. Inventados em 1994, eles se tornaram o padrão para ajudar sites a gerenciar sessões e preferências dos usuários sem salvar os dados no servidor.

Quais são os tipos de cookies HTTP?

Existem algumas variações de cookies HTTP, cada um como uma origem ou duração própria:

Cookies de sessão: são temporários, existindo apenas durante a navegação do usuário no site e armazenados na memória do dispositivo. São automaticamente deletados ao fechar o navegador de internet, sendo vitais para a manutenção do estado da sessão;

Cookies persistentes: permanecem no dispositivo por um período estendido, com uma data de validade definida, e salvam dados por longo prazo. São usados para autenticação e para rastrear múltiplas visitas a um mesmo site;

Cookies primários (First-party): criados e pertencentes diretamente ao domínio do site que a pessoa está visitando, rastreiam a atividade somente nessa página específica. Geralmente são considerados mais seguros, sendo essenciais para a funcionalidade correta do site visitado;

Cookies essenciais: são cookies, geralmente de sessão e primários, estritamente necessários para o funcionamento básico do site e dos serviços solicitados pelo usuário. Eles mantêm a pessoa logada ou lembram dos itens adicionados ao carrinho de compras enquanto navega no site;

Cookies de terceiros (Third-party): gerados por domínios diferentes do site que a pessoa navega, frequentemente ligadas a serviços de anúncios ou rastreamento. Monitoram o histórico de navegação entre vários sites para criar publicidade direcionada, mas estão sendo gradualmente bloqueados por alguns navegadores;

Cookies zombie: forma persistente de cookie de terceiros que se reinstala após ser excluído, pois se esconde em múltiplos locais no sistema. São extremamente difíceis de remover e representam um risco de rastreamento persistente e invasivo aos usuários.

Os cookies são essenciais para lojas online, armazenando as informações dos produtos adicionados ao carrinho (imagem: Rupixen/Unsplash)

Quais são os riscos dos cookies?

Os principais riscos dos cookies residem na violação de privacidade e nas vulnerabilidades de segurança. Eles podem rastrear os hábitos de navegação do usuário para construir um perfil digital e esses dados podem ser compartilhados ou vendidos para terceiros para publicidade invasiva.

Existe o perigo de ataques cibernéticos, como sequestro de sessão, onde cookies são explorados para obter acesso não autorizado a contas. Os cookies de sessão roubados também podem expor informações pessoais e confidenciais, facilitando roubo de identidade ou fraude financeira.

O acúmulo excessivo de cookies no navegador também pode ser um problema para celulares e computadores. Ocasionalmente, isso pode comprometer o desempenho e causar lentidão no dispositivo se não houver uma limpeza periódica dos pequenos arquivos de texto.

Leis como GDPR na União Europeia e a LGPD no Brasil exigem regulamentação e políticas de cookies mais transparentes para reduzir os riscos de segurança. Essas legislações obrigam os sites a informar claramente os usuários sobre a finalidade dos cookies e como os dados serão coletados e utilizados.

A LGPD protege os dados pessoais dos brasileiros com a regulamentação e políticas de cookies (imagem: Vitor Pádua/Tecnoblog)

É possível apagar ou bloquear cookies de navegação?

Sim, o menu de configurações do navegador costuma oferecer opções para apagar ou bloquear cookies de navegação. Alguns browsers permitem remover todos os cookies, definir intervalos de tempo para limpeza ou excluir individualmente para certos sites.

Para realizar a gestão, é necessário acessar as configurações do navegador e ir até a seção “Privacidade e Segurança” ou algo semelhante. Lá, o usuário encontra o gerenciador de cookies e outras ferramentas para limpar dados de navegação, permitindo a exclusão total ou por períodos definidos.

Na mesma área, você pode optar por bloquear a aceitação de todos os cookies por padrão ou somente cookies de terceiros. Bloquear cookies terceiros é uma configuração recomendada para impedir o rastreamento entre diferentes sites na internet.

Além disso, a maioria dos navegadores permite configurar regras personalizadas, dando ao usuário a liberdade de aceitar ou negar o uso de cookies para websites específicos. Isso garante uma navegação mais adaptada às suas necessidades de segurança e usabilidade.

Navegadores como o Microsoft Edge oferece opções para gerenciar os cookies (imagem: Lupa Charleaux/Tecnoblog)

Qual é a diferença entre cookies e cache?

Cookies são pequenos arquivos de texto que os websites armazenam nos dispositivos para guardar dados específicos do usuário, como informações de login e preferências pessoais. O objetivo é personalizar a experiência online, permitindo que o site se lembre do usuário e mantenha o rastreamento entre diferentes páginas e sessões de navegação.

A memória cache armazena cópias de arquivos temporários de sites, como imagens e scripts, no dispositivo quando a pessoa visita à página pela primeira vez. Sua função é acelerar o tempo de carregamento e melhorar o desempenho, pois o navegador pode carregar esses elementos salvos localmente.
O que são cookies? Entenda para que servem os arquivos de sites da web

O que são cookies? Entenda para que servem os arquivos de sites da web
Fonte: Tecnoblog

É o fim do Privacy Sandbox, projeto de privacidade online do Google

20 de outubro de 2025

É o fim do Privacy Sandbox, projeto de privacidade online do Google

Símbolo da iniciativa Privacy Sandbox (imagem: divulgação/Google)

Resumo

Indiretamente, Google anunciou o fim do Privacy Sandbox, projeto criado para reduzir o uso de cookies de terceiros e aumentar a privacidade na web;

Iniciativa enfrentou resistência do setor publicitário e questionamentos regulatórios nos EUA e Reino Unido, por exemplo;

Embora descontinuado, Sandbox contribuiu com tecnologias como o CHIPS, que dificulta o rastreamento entre sites.

Sem fazer alarde e de modo indireto, o Google anunciou o fim do Privacy Sandbox, projeto que visava aumentar a privacidade dos usuários na web, principalmente no âmbito da publicidade digital. O motivo da descontinuação da iniciativa? Baixa adesão, de acordo com a companhia.

O Privacy Sandbox foi anunciado pelo Google em 2019 como um conjunto de tecnologias e práticas focado, sobretudo, em reduzir ou até eliminar os chamados cookies de terceiros no Chrome e, eventualmente, nos demais navegadores.

Qual o problema com esse recurso? Cookies são pequenos arquivos que contêm dados de navegação, como preferências ou informações de login usados para reconhecer você em futuros acessos àquele site. Cookies de terceiros, por sua vez, são aqueles que não foram gerados pelo site que você está acessando, mas por serviços externos atrelados a ele.

Na publicidade digital, cookies de terceiros são usados, por exemplo, para rastrear os sites acessados pelo usuário (rastreamento entre sites), de modo que seja possível conhecer os seus hábitos de navegação e oferecer anúncios contextualizados a ele.

Dado o uso abusivo que vinha sendo feito (e ainda vem) dos cookies de terceiros, o Privacy Sandbox foi criado com o objetivo de substituir esse recurso nos navegadores, tanto quanto possível.

Contudo, o projeto encontrou vários obstáculos pelo caminho. Para começar, o Google teve dificuldades para convencer o setor de publicidade digital da viabilidade do projeto.

Uma das propostas do Google consistia em substituir os cookies por um mecanismo que enviasse anúncios direcionados aos usuários no Chrome, mas restringindo o rastreamento entre sites. Empresas de publicidade temiam que essa abordagem causasse impacto negativo nas receitas dos anúncios, porém.

Mas a maior dificuldade era de ordem regulatória: autoridades dos Estados Unidos e do Reino Unido, por exemplo, desconfiavam de que o Privacy Sandbox pudesse ser usado para tornar o Google ainda mais dominante no mercado de anúncios online, o que prejudicaria principalmente concorrentes pequenos.

Em 2024, o Google desistiu da ideia de acabar com os cookies de terceiros, mas manteve o Privacy Sandbox. Até agora.

Principal prédio do Google (Foto: André Fogaça/Tecnoblog)

Por que o Privacy Sandbox foi descontinuado?

No comunicado oficial, Anthony Chavez, líder do projeto, explica que várias tecnologias do Privacy Sandbox foram descontinuadas “considerando seus baixos níveis de adoção”.

O texto não fala do fim do Privacy Sandbox em si, mas, ao AdWeek, o Google confirmou que a lista de tecnologias descontinuadas significa que o projeto como um todo foi encerrado.

A iniciativa só não é considerada um fracasso total porque, de lá, saíram contribuições para tecnologias que alcançaram algum nível de relevância, a exemplo do Cookies Having Independent Partitioned State (CHIPS), que permite que sites armazenem cookies para cada endereço visitado pelo usuário de modo separado, dificultando o rastreamento.

Mas, de um ponto de vista amplo, o fim do Privacy Sandbox é um lembrete de que ainda há muito trabalho a ser feito em prol de um ambiente online verdadeiramente favorável à privacidade digital.
É o fim do Privacy Sandbox, projeto de privacidade online do Google

É o fim do Privacy Sandbox, projeto de privacidade online do Google
Fonte: Tecnoblog

WhatsApp testa limite para mensagens sem resposta

17 de outubro de 2025

WhatsApp testa limite para mensagens sem resposta

Mudança não deve afetar usuário comum, diz WhatsApp (ilustração: Vitor Pádua/Tecnoblog)

Resumo

O WhatsApp testa limites mensais para mensagens enviadas a números desconhecidos sem resposta.
A Meta confirmou que o objetivo é reduzir spam e que haverá avisos antes de atingir o limite.
A empresa também testa limites em listas de transmissão e criou um botão para sinalizar desinteresse em mensagens de marketing.

O WhatsApp trabalha para impor um limite de mensagens que pessoas e empresas podem mandar para números desconhecidos sem haver uma resposta. A empresa ainda não decidiu qual será essa quantidade e está testando diferentes tetos mensais de envios.

As informações foram obtidas pelo site TechCrunch e confirmadas pela Meta, desenvolvedora do mensageiro. A ideia é que a norma ajude a reduzir o problema de spam na plataforma. Os testes devem começar nas próximas semanas em diferentes países.

Como vai funcionar o limite de mensagens do WhatsApp?

De acordo com a publicação, se você enviar três mensagens para alguém que não tem seu contato salvo, aquelas três mensagens serão consideradas no cálculo do limite mensal. Se a pessoa em questão responder, as três mensagens deixam de contar.

Quando uma pessoa ou uma empresa estiver próxima de estourar o teto, haverá um aviso no aplicativo, indicando o número de mensagens restantes. Assim, ninguém será bloqueado sem ser advertido previamente.

A Meta diz que o usuário médio do WhatsApp não deverá ter problemas com o limite. A regra visa reprimir pessoas e empresas que praticam spam e fazem envio em massa de mensagens.

WhatsApp vem adotando medidas contra spam

Há alguns meses, o WhatsApp começou a realizar testes com outro tipo de limite de mensagens: as enviadas em listas de transmissão. A Meta está realizando esse experimento em mais de dez países. A empresa também criou um botão para sinalizar que você não está interessado nas mensagens de marketing enviadas por uma empresa.

Além disso, nas configurações de privacidade, é possível ativar uma opção que bloqueia envios de alguém que não está na sua lista de contatos após uma certa quantidade, que não está especificada no app.

Com informações do TechCrunch
WhatsApp testa limite para mensagens sem resposta

WhatsApp testa limite para mensagens sem resposta
Fonte: Tecnoblog

Instagram vai usar suas conversas com a IA para mostrar anúncios

15 de outubro de 2025

Instagram vai usar suas conversas com a IA para mostrar anúncios

Instagram vai usar suas conversas com a IA para mostrar anúncios (imagem: Igor Shimabukuro/Tecnoblog)

Resumo

A partir de 16 de dezembro, interações com a Meta AI no Instagram e Facebook serão usadas para segmentação de anúncios;
Mudança afeta apenas perfis na Central de Contas da Meta; dados sensíveis não serão usados para a segmentação;
Interações com a Meta AI também serão usadas para recomendação de conteúdo ao usuário.

A partir de 16 de dezembro deste ano, as interações que você tiver com a Meta AI a partir do Instagram e Facebook servirão de base para a exibição de anúncios segmentados nesses serviços. Usuários estão sendo avisados por e-mail e notificações sobre a mudança desde o último dia 7.

Isso significa que, se você for à área de mensagens do Instagram e perguntar à Meta AI sobre exercícios físicos, poderá ver anúncios sobre tênis ou roupas de academia no decorrer dos dias seguintes, só para dar um exemplo.

Também é possível que você comece a se deparar com publicações sobre o mesmo assunto. Isso porque as suas interações com a Meta AI poderão influenciar não só os anúncios direcionados a você, como também as recomendações personalizadas de conteúdo.

Em linhas gerais, a Meta classifica a mudança como uma evolução dos parâmetros que já são usados para recomendação de conteúdo e anúncios direcionados, como curtidas e comentários em publicações.

Embora a nova abordagem possa envolver todas as plataformas da Meta, a mudança valerá apenas para os perfis que o usuário tem na Central de Contas. Se ali estiverem os seus perfis no Instagram e Facebook, mas não a sua conta no WhatsApp, por exemplo, as interações com a Meta AI por meio deste último não serão consideradas.

Se o seu perfil do WhatsApp estiver cadastrado na Central de Contas, as interações com a Meta AI a partir do serviço poderão ser usadas para segmentação de anúncios no Instagram e Facebook. Contudo, não há indicativos de que o WhatsApp em si exibirá anúncios.

Saiba como conferir, adicionar ou remover perfis na Central de Contas da Meta.

Ainda de acordo com a companhia, dados sensíveis, que envolvem religião, orientação sexual e preferências políticas, por exemplo, não serão usados para a segmentação de anúncios.

E-mail da Meta informando o uso das interações com a IA para anúncios (imagem: Thássius Veloso/Tecnoblog)

É possível impedir que as interações com a Meta AI sejam usadas para anúncios?

Até o momento, não há nenhuma configuração nativa que desative o uso da Meta AI para recomendação de conteúdo e anúncios segmentados. O que o usuário pode fazer é acessar a área Preferência de anúncios para realizar ajustes específicos, como ocultar as publicações de determinados anunciantes, mas não para impedir o uso da Meta IA para esse fim.

A quem se preocupa com a nova abordagem só resta uma opção: evitar o uso da Meta AI, tanto quanto possível.
Instagram vai usar suas conversas com a IA para mostrar anúncios

Instagram vai usar suas conversas com a IA para mostrar anúncios
Fonte: Tecnoblog

Visa diz que transações falsas são quase o dobro das genuínas

9 de outubro de 2025

Visa diz que transações falsas são quase o dobro das genuínas

Levantamento indica que golpistas miram valores altos (imagem: Emerson Alecrim/Tecnoblog)

Resumo

Visa relatou que transações fraudulentas são quase o dobro das genuínas, com valor médio de R$ 1,2 mil, ante os R$ 740 de compras reais.
A empresa de serviços financeiros afirma que as principais táticas de criminosos incluem falsos testes de cartão e roubo de contas.
Segundo o levantamento, 55% das fraudes vêm de dispositivos móveis.

O valor médio das tentativas de fraude no e-commerce brasileiro foi 60% maior que o de transações legítimas no primeiro semestre de 2024, segundo levantamento da Visa Acceptance Solutions. O estudo, feito pela área focada em soluções de pagamentos da multinacional, aponta ainda que 55% das fraudes partiram de dispositivos móveis.

Em um evento da empresa, Gustavo Carvalho, vice-presidente da Visa Added Services (VAS) no Brasil, detalhou os números. Segundo o executivo, o tíquete médio de uma transação fraudulenta foi de R$ 1,2 mil, enquanto o de uma compra genuína ficou em R$ 740. Além disso, 90% das contestações só acontecem 45 dias após a transação ocorrer.

O estudo também mapeou os estados que mais concentram o volume de golpes, com São Paulo, Minas Gerais, Rio de Janeiro, Bahia e Paraná liderando o ranking.

O aumento nos golpes ou tentativas de fraudes digitais no Brasil, fez com que o Ministério da Justiça e Segurança Pública (MJSP) e a Federação Brasileira de Bancos (Febraban) fechassem uma parceria no início deste ano.

Como os golpes acontecem?

Golpistas recorrem à engenharia social para ter acesso aos dados (imagem: Mohamed_hassan/Pixabay)

Durante a apresentação, Carvalho explicou as duas principais táticas usadas pelos fraudadores atualmente. A primeira é o “teste de cartão”, onde criminosos realizam compras de baixo valor para verificar se os dados de um cartão roubado estão ativos antes de aplicar um golpe maior.

A segunda é o “roubo de contas”, no qual, por meio de engenharia social, o golpista assume o controle da conta de um usuário em uma loja online para utilizar os dados de pagamento salvos.

O executivo destacou que a recomendação, hoje, é que as empresas adotem um modelo de zero trust, ou seja, em que nem mesmo o cliente é confiável. Segundo ele, o perímetro de segurança das empresas se expandiu para além dos escritórios, já que atualmente os acessos acontecem de qualquer lugar, principalmente via celular.

IA no combate às fraudes

Empresa investe em IA, mas golpistas também evoluem práticas (ilustração: Vitor Pádua/Tecnoblog)

Entre as camadas de verificação, a Visa aposta em inteligência artificial e aprendizado de máquina para combater as ameaças. A empresa afirma ter investido globalmente mais de US$ 11 bilhões em tecnologia e segurança nos últimos cinco anos, o que permitiu o bloqueio de US$ 40 bilhões em fraudes em 2023.

Contudo, Carvalho alertou que os fraudadores também estão se sofisticando com o uso de IA. Um exemplo é a criação de “dados sintéticos”, em que informações reais de vítimas são combinadas com dados falsos gerados por IA para burlar sistemas de verificação.

O executivo também citou o uso crescente de deep fakes em vídeos para promover produtos e serviços falsos, usando imagem de celebridades. “O próximo passo são ataques por imersão personalizada, por exemplo, com pessoas que fazem parte da sua rede de contato”, afirmou Carvalho.

No fim de setembro, a União Europeia cobrou Apple, Google e Microsoft sobre a proliferação de fraudes financeiras no ecossistema digital, incluindo anúncios falsos. De acordo com o bloco, as ações criminosas já causaram prejuízos de mais de 4 bilhões de euros.

Com informações de Mobile Time e Visa
Visa diz que transações falsas são quase o dobro das genuínas

Visa diz que transações falsas são quase o dobro das genuínas
Fonte: Tecnoblog

Sideloading no Android: Google vai cobrar registro de desenvolvedores

6 de outubro de 2025

Sideloading no Android: Google vai cobrar registro de desenvolvedores

Desenvolvedores precisarão se registrar mesmo que distribuam apps por fora da Play Store (ilustração: Vitor Pádua/Tecnoblog)

Resumo

O Google introduzirá um registro pago de US$ 25 (R$ 133) para desenvolvedores que distribuírem apps fora da Play Store, com uma alternativa gratuita para estudantes e amadores.
O Android 16 incluirá o Android Developer Verifier, verificando a legitimidade de apps no momento da instalação para combater malware.
Informações dos desenvolvedores serão privadas, mas podem ser compartilhadas com autoridades mediante solicitação legal.

Responsáveis do Google revelaram mais detalhes sobre o futuro (e já tão polêmico) sistema de verificação para aplicativos do Android. Entre eles, que o registro de desenvolvedores no sistema, previsto para chegar em breve ao Android 16, representará um custo adicional para os profissionais de software.

Patrick Baumann, Raz Lev e Naheed Vora, que são responsável pelo Android, participaram de um podcast. Eles explicaram que o componente central da novidade será o Android Developer Verifier, que, no momento da instalação do app, checará se o nome do pacote e as chaves de assinatura foram devidamente registrados junto ao Google.

Além disso, desenvolvedores que desejarem distribuir seus aplicativos fora da Play Store deverão pagar uma taxa de US$ 25 (cerca de R$ 133, em conversão direta), espelhando o valor já existente para o registro na loja oficial.

De acordo com uma postagem no Android Developers Blog, entretanto, a equipe complementa que haverá uma alternativa gratuita para estudantes e desenvolvedores amadores, embora essa modalidade venha com um limite ainda não especificado de instalações permitidas.

Como vai funcionar a verificação?

A partir de uma próxima atualização, prevista para o Android 16, o sistema operacional passará a verificar a legitimidade de um aplicativo no momento em que o usuário tenta instalá-lo. Para apps menos comuns ou que não estejam em um cache local do dispositivo, o Android Developer Verifier precisará se conectar aos servidores do Google para confirmar o registro do desenvolvedor.

O Google afirma que planeja oferecer uma forma de “token de pré-autorização” para que lojas de aplicativos alternativas possam contornar a necessidade de verificação online a cada instalação, mas os detalhes disso ainda não foram finalizados.

O Google esclareceu também que o objetivo principal da verificação não é aplicar as regras de conteúdo da Play Store a aplicativos de sideloading, mas combater a distribuição de malware. A análise dos apps, segundo a equipe, se concentrará naqueles que apresentarem “um alto grau de dano”.

Sendo assim, caso o sistema flagre um desenvolvedor distribuindo software malicioso, todos os aplicativos registrados por ele poderão ser desativados remotamente pelo sistema.

Desenvolvedores questionam o método

Google Play Protect já dificulta a instalação de apps maliciosos baixados de fontes alternativas (Imagem: Vitor Pádua/Tecnoblog)

Apesar de o Android já contar com o Play Protect, que escaneia todos os apps do dispositivo, a nova camada de verificação exigirá que os desenvolvedores forneçam suas informações ao Google. Ainda assim, a empresa afirma que não haverá uma lista pública com os dados dos desenvolvedores de sideload, ao contrário do que ocorre na Play Store.

Contudo, essas informações estarão em posse do Google e poderão ser compartilhadas com autoridades governamentais mediante solicitação legal — detalhe que foi recebido com ceticismo, de acordo com o site Ars Technica.

Para os críticos, a empresa obtém mais um mecanismo de controle sobre a distribuição de apps justamente quando lojas alternativas poderiam ganhar mais espaço diante da Play Store. Além disso, há um receio de que a companhia seja obrigada, futuramente, a fornecer dados de desenvolvedores a governos para fins de censura.
Sideloading no Android: Google vai cobrar registro de desenvolvedores

Sideloading no Android: Google vai cobrar registro de desenvolvedores
Fonte: Tecnoblog

12