Category: Segurança e Privacidade

Anatel sugere “habilitação digital” para uso de celulares no Brasil

3 de outubro de 2025

Anatel sugere “habilitação digital” para uso de celulares no Brasil

Sugestão foi feita pelo gerente da Anatel em São Paulo (imagem: Vitor Pádua/Tecnoblog)

Resumo

O gerente da Anatel em São Paulo, Marcelo Scacabarozi, sugeriu criar uma “habilitação digital” para novos usuários de smartphones.
A proposta prevê cursos de segurança digital, com desbloqueio total do aparelho após a conclusão e possíveis descontos em planos como incentivo.
Ele também defendeu incluir educação em cibersegurança nas escolas, visando proteger especialmente crianças, idosos e famílias contra fraudes.

E se o usuário de um novo smartphone precisasse passar por um “curso” de habilitação digital antes do acesso completo ao aparelho? Essa foi a sugestão do gerente do escritório da Anatel em São Paulo, Marcelo Scacabarozi, nessa quinta-feira (02/10), durante a Futurecom, principal congresso de telecomunicações do país.

A ideia, segundo o especialista, é que o consumidor, ao ativar um novo smartphone, tenha a opção de passar por um curso rápido sobre segurança digital. O objetivo seria aumentar a segurança de públicos vulneráveis, como crianças, adolescentes e idosos.

Por isso, apenas após a conclusão do treinamento o usuário poderia desbloquear todas as funcionalidades do aparelho. Como incentivo, Scacabarozi citou até mesmo a possibilidade de gerar benefícios, como descontos nos planos de serviço oferecidos pelas operadoras.

Marcelo Scacabarozi é gerente do escritório da Anatel em São Paulo (imagem: reprodução/Alesp)

Sendo apenas uma ideia apresentada durante o evento, Scacabarozi não explora especificamente como essa habilitação seria aplicada nos smartphones ou se um usuário que já passou pelo processo em outro smartphone teria os acessos liberados em um dispositivo novo.

Ele também destacou as ações recentes do escritório da Anatel em São Paulo contra estações de celular piratas, conhecidas como “ERB fake”. Esses equipamentos bloqueiam o sinal do consumidor e disparam SMS maliciosos em massa para aplicar golpes.

Educação digital desde a escola

Scacabarozi reforça necessidade de educação digital nas escolas (imagem: Unsplash/Bruce Mars)

Durante sua apresentação, Scacabarozi argumentou que a geração adulta aprendeu a se defender de golpes “na prática”, muitas vezes após ser vítima de fraudes. Para o gerente da Anatel, é preciso quebrar esse ciclo vicioso.

A habilitação digital seria um dos caminhos para isso. Outra frente, segundo ele, seria a inclusão da disciplina de cibersegurança já na escola. Ambas as ações visam capacitar as famílias a navegarem de forma mais segura, protegendo principalmente crianças e adolescentes.

O especialista destacou que os segmentos mais vulneráveis da população são, justamente, os menos preparados para os desafios do ambiente online. Idosos, por exemplo, ainda têm grandes dificuldades com smartphones e o uso de apps, como revelou uma pesquisa recente do Procon-SP, e são suscetíveis a cair em golpes.

Para Scacabarozi, com a onipresença da tecnologia, é quase impossível para o cidadão comum ter certeza de que seus dados estão, de fato, seguros.

Google oferece algo parecido

Conscientização de segurança digital não faz parte da configuração dos smartphones (ilustração: Vitor Pádua/Tecnoblog)

Atualmente, as fabricantes de smartphones e empresas por trás dos sistemas operacionais incorporam apenas elementos básicos de segurança e privacidade no processo de configuração inicial.

Tanto no Android quanto no iOS, o foco maior é a proteção de dados sensíveis (acessos à localização, câmera, etc.) e a configuração de senhas para a proteção do dispositivo.

Já fora da pré-configuração dos aparelhos, ambos os sistemas também adotam práticas de controle dos pais. Entretanto, o Google oferece algo próximo à ideia de conscientização de Scacabarozi.

A gigante das buscas possui o programa Seja Incrível na Internet, produzido em parceria com especialistas em segurança digital e destinado às crianças. Nele, o Google disponibiliza conteúdos e ferramentas interativas para incentivar o “uso seguro” da internet.

Com informações da Anatel
Anatel sugere “habilitação digital” para uso de celulares no Brasil

Anatel sugere “habilitação digital” para uso de celulares no Brasil
Fonte: Tecnoblog

Reino Unido exige novamente acesso a backups de clientes da Apple

1 de outubro de 2025

Reino Unido exige novamente acesso a backups de clientes da Apple

Apple desativou criptografia no Reino Unido em resposta a uma ordem anterior (ilustração: Vitor Pádua/Tecnoblog)

Resumo

O Reino Unido exigiu que a Apple criasse um backdoor para acessar dados criptografados de cidadãos britânicos no iCloud.
A Apple vem se recusando a acatar a ordem, citando riscos de privacidade global e violação de segurança.
A medida pode criar vulnerabilidades globais, afetando milhões de contas de usuários do iCloud.

O governo do Reino Unido exigiu novamente que a Apple crie um backdoor para dados de usuários criptografados e armazenados no iCloud, segundo uma reportagem do Financial Times. Dessa vez, porém, a medida seria mais restrita, aplicando-se apenas a cidadãos britânicos.

O UK Home Office, como é chamado o ministério responsável pela segurança do país, recusou comentar o assunto. Ordens desse tipo costumam ser secretas.

Reino Unido já tentou, mas desistiu

O assunto não é novo. Em janeiro de 2025, o Reino Unido teria emitido pela primeira vez uma notificação de capacidade técnica (TCN, na sigla em inglês), segundo o jornal The Washington Post.

A ordem secreta exigia que a Apple criasse um backdoor para autoridades de segurança acessarem arquivos em investigações. O assunto não poderia ser revelado ao público ou a usuários. Em resposta, a Apple entrou com um recurso para não ter de cumprir a ordem.

Reino Unido alega preocupações com segurança (foto: Chris Colhoun/Flickr)

Outra medida foi deixar de oferecer no Reino Unido a Proteção Avançada de Dados do iCloud, que aplica criptografia de ponta a ponta nos arquivos armazenados, de modo que só o usuário possa acessar o conteúdo. Sem a criptografia, arquivos obtidos sob ordem judicial podem ser abertos pelas autoridades.

“Como dissemos várias vezes, nunca construímos ou construiremos um backdoor ou uma chave-mestra para nenhum dos nossos produtos ou serviços”, disse a Apple na ocasião.

O assunto envolveu até mesmo o governo dos Estados Unidos, que pressionou as autoridades britânicas, alegando possíveis violações à legislação americana que rege o armazenamento na nuvem. Em agosto de 2025, Tulsi Gabbard, chefe da inteligência dos EUA, anunciou que o Reino Unido tinha desistido da exigência de um backdoor no iCloud.

Backdoor seria risco para todos

Por mais que o pedido envolva uma empresa americana e o governo britânico, um backdoor na criptografia do iCloud pode representar um risco de privacidade para todos os usuários do serviço, em qualquer parte do mundo.

Ao Financial Times, Caroline Wilson Palow, diretora da ONG Privacy International, diz que uma exceção na segurança seria, na prática, uma “vulnerabilidade com potencial para ser explorada por estados inimigos, criminosos e outros agentes mal-intencionados por todo o mundo”.

Com informações do Financial Times e do Verge
Reino Unido exige novamente acesso a backups de clientes da Apple

Reino Unido exige novamente acesso a backups de clientes da Apple
Fonte: Tecnoblog

União Europeia quer rever a lei dos cookies

23 de setembro de 2025

União Europeia quer rever a lei dos cookies

Bloqueio de aviso de cookies no Vivaldi (imagem: Emerson Alecrim/Tecnoblog)

Resumo

Usuários da União Europeia enfrentam excesso de pop-ups de cookies, levando a consentimento mecânico e pouco eficaz.
A Comissão Europeia busca simplificar a lei, permitindo configurações únicas e mantendo banners apenas para rastreadores invasivos.
Debate envolve indústrias de tecnologia e defensores da privacidade, com foco em equilibrar usabilidade e proteção de dados.

O incômodo dos usuários de internet na União Europeia com os avisos de cookie movimentaram novamente a Comissão Europeia, que está em busca de soluções. Para isso, o órgão iniciou nesta segunda-feira (22/09) uma série de reuniões com a indústria de tecnologia.

Eles discutem uma reforma na Diretiva de e-Privacy, que, após revisão em 2009, deu origem ao que especialistas chamam de “fadiga de cookies”. A norma relacionada aos cookies foi criada com a intenção de dar aos usuários o controle sobre os próprios dados, exigindo consentimento explícito para o uso de rastreadores.

No entanto, como efeito colateral, há uma enxurrada de banners, o que, segundo a própria Comissão, “matou o consentimento”. Assim como nos enormes contratos de licença que aparecem na instalação ou primeiro uso de softwares, a maioria das pessoas clica em “aceitar” sem ler, apenas para acessar o conteúdo.

Por causa disso, o órgão deve apresentar em dezembro um texto com propostas para simplificar a regra, segundo o portal Politico.

Por que a lei “deu errado”?

Cookies são um grande problema para a União Europeia há mais de uma década (foto: Thijs ter Haar/Wikimedia Commons)

A União Europeia definiu a lei sobre os cookies em 2009. Sites são obrigados a pedir consentimento dos visitantes para coletar dados. Para isso, os desenvolvedores adicionaram pop-ups solicitando as permissões em seus sites.

Entretanto, o diagnóstico da União Europeia é de que o consentimento a cada site visitado tornou o ato mecânico e ineficaz. “Dar consentimento demais basicamente mata o consentimento”, resumiu o advogado especializado em dados Peter Craddok ao site Politico.

Assim como acontece no Brasil, o usuário se depara com um aviso sobre cookies, com uma diferença: por lá, costumam ser enormes e muito mais incômodos, com diversas opções.

Aviso de cookies faz com que usuários acabem aceitando tudo na Europa (imagem: Felipe Freitas/Tecnoblog)

O bloco vem tentando mudar esse processo há algum tempo. No ano passado, de acordo com o Gizmodo, a UE trabalhou em conjunto com plataformas das big techs para melhorar os pop-ups. A iniciativa, que contou com o comprometimento de empresas como Apple, Meta e ByteDance (dona do TikTok), não deu certo.

Países propõem simplificação

Diversas novas ideias estão sendo avaliadas. Segundo uma nota interna obtida pelo Politico, uma das principais propostas é permitir que os usuários configurem as preferências de cookies uma única vez, diretamente do navegador. Com isso, elimina-se a necessidade de pop-ups em cada página.

Outra sugestão, apoiada pela Dinamarca, é simplesmente eliminar a exigência de banners para cookies considerados “inofensivos”, como os usados para estatísticas básicas do site. Neste caso, a ideia é manter a regra apenas para rastreadores mais invasivos, como os de publicidade.

No Brasil, a Agência Nacional de Proteção de Dados (ANPD) já orienta que a categoria de estatísticas fique desativada por padrão.

Indústria briga com defensores da privacidade

Empresas querem que GDPR passe a incorporar diretrizes sobre cookies (imagem: reprodução)

A indústria de tecnologia, por sua vez, defende que as regras de cookies sejam incorporadas à GDPR, a lei geral de proteção de dados do bloco. A GDPR adota uma abordagem mais flexível, baseada em risco, o que permitiria o uso de outras bases legais além do consentimento, como o “legítimo interesse”.

Defensores da privacidade na União Europeia se opõem à flexibilização, temendo que ela abra portas para mais rastreamento disfarçado. “Expandir essa categoria para incluir outros tipos de rastreamento ‘essencial’ é enganoso, porque arrisca contrabandear análise ou personalização para a tecnologia de anúncios”, afirmou Itxaso Domínguez de Olazábal, conselheira da European Digital Rights, ao Politico.

União Europeia quer rever a lei dos cookies

União Europeia quer rever a lei dos cookies
Fonte: Tecnoblog

ChatGPT é testado em ataque para roubar dados do Gmail

22 de setembro de 2025

ChatGPT é testado em ataque para roubar dados do Gmail

ChatGPT foi usado em teste de ataque para extrair dados de emails (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Pesquisadores da Radware realizaram o ataque Shadow Leak, que usou injeção de prompts para extrair dados do Gmail.
A vulnerabilidade explorava a ferramenta Deep Research do ChatGPT, permitindo a execução de instruções ocultas para acessar dados sigilosos.
O problema, comunicado à OpenAI em junho, já foi resolvido, mas também poderia comprometer serviços como o Outlook e Google Drive.

É possível usar o ChatGPT como aliado em ataques para extrair dados sensíveis do Gmail. Foi o que pesquisadores de segurança da Radware conseguiram demonstrar com um ataque de injeção de prompts. A falha já foi corrigida pela OpenAI, mas permitiu extrair dados da caixa de entrada sem que os usuários percebessem.

O ataque recebeu o nome de Shadow Leak e foi divulgado na última semana pela empresa de segurança cibernética. A técnica explorava agentes de IA — sistemas capazes de executar tarefas sem supervisão contínua, como navegar na web, acessar documentos e interagir com e-mails após autorização do usuário.

Como o ataque funcionava?

O método consistia em usar uma técnica conhecida como “injeção de prompt”. Trata-se de inserir instruções ocultas para que o agente siga comandos de um invasor sem que o usuário tenha consciência disso.

Esse tipo de ataque já foi usado em diferentes contextos, desde manipulação de avaliações até golpes financeiros. As instruções podem ser escondidas no HTML do e-mail de forma imperceptível para humanos, como fontes minúsculas ou em um texto branco sobre fundo branco.

Shadow Leak foi executado diretamente na infraestrutura em nuvem da OpenAI (ilustração: Vitor Pádua/Tecnoblog)

No caso do Shadow Leak, o alvo foi a ferramenta Deep Research, recurso da OpenAI integrado ao ChatGPT e lançado neste ano. Os pesquisadores enviaram um e-mail contendo um prompt malicioso para uma conta do Gmail que tinha acesso ao agente. Assim que o usuário ativava o Deep Research, a armadilha era acionada: o sistema encontrava as instruções escondidas, que ordenavam a busca por mensagens de RH e dados pessoais, enviando as informações secretamente para os golpistas. O usuário não notava nada de anormal.

Segundo a Radware, executar esse ataque exigiu muitos testes até chegar a um resultado viável. “Esse processo foi uma montanha-russa de tentativas fracassadas, obstáculos frustrantes e, finalmente, uma descoberta”, escreveram os pesquisadores.

Outros serviços em risco

Serviços integrados ao Deep Research, como o Outlook, também poderiam ser afetados (ilustração: Vitor Pádua/Tecnoblog)

Um aspecto que chamou atenção é que, diferentemente da maioria dos ataques de injeção de prompts, o Shadow Leak foi executado diretamente na infraestrutura em nuvem da OpenAI. Isso fez com que a extração de dados ocorresse sem deixar rastros visíveis para as defesas tradicionais de segurança cibernética.

A Radware destacou ainda que a vulnerabilidade poderia afetar não apenas o Gmail, mas também outros serviços conectados ao Deep Research, como Outlook, GitHub, Google Drive e Dropbox.

De acordo com a empresa, “a mesma técnica pode ser aplicada a esses conectores adicionais para extrair dados empresariais altamente sensíveis, como contratos, notas de reunião ou registros de clientes”.

A falha foi comunicada à OpenAI em junho e já recebeu correção. Ainda assim, os pesquisadores reforçam que ataques desse tipo mostram como a evolução de agentes de IA traz benefícios, mas também abre novas superfícies de risco para usuários e empresas.

Com informações do The Verge
ChatGPT é testado em ataque para roubar dados do Gmail

ChatGPT é testado em ataque para roubar dados do Gmail
Fonte: Tecnoblog

Microsoft Teams vai alertar usuários sobre links suspeitos

12 de setembro de 2025

Microsoft Teams vai alertar usuários sobre links suspeitos

Microsoft Teams no Windows 11 (imagem: Emerson Alecrim/Tecnoblog)

Resumo

Microsoft Teams vai exibir alertas de segurança para links suspeitos nas mensagens trocadas entre os usuários.
O recurso deve ser disponibilizado em novembro e notificará remetente e destinatário sobre URLs perigosas, além de bloquear arquivos .exe.
Recentemente, o sistema de segurança da Microsoft apresentou problemas, com um bug bloqueando links legítimos no Teams e Exchange Online.

A Microsoft deve lançar um novo recurso de proteção de usuários do Teams contra links maliciosos. A ferramenta, integrada ao Microsoft Defender para Office 365, exibirá um banner de aviso diretamente nas mensagens que contenham URLs identificadas como spam, phishing ou malware.

A novidade começará a ser liberada em preview público neste mês e chegará para todos os clientes empresariais em novembro. Ela funcionará tanto em conversas privadas quanto em canais. Segundo a empresa, o objetivo é aumentar a conscientização do usuário e complementar as proteções de segurança já existentes, como o Safe Links e o ZAP (Zero-hour auto purge).

Como funcionarão os alertas?

O sistema de alertas funciona de forma simples. Quando a plataforma detectar um link suspeito, um banner de aviso aparecerá na mensagem, alertando o destinatário sobre o risco potencial antes mesmo do clique. A funcionalidade também notificará o remetente da mensagem, informando que o link compartilhado foi sinalizado como perigoso, como nas imagens abaixo.

Mensagem enviada no Teams com alerta de possível conteúdo malicioso (imagem: reprodução/Microsoft)

Usuário que receber a mensagem terá aviso idêntico (imagem: reprodução/Microsoft)

Já a verificação de segurança ocorrerá em dois momentos. Se uma URL já for conhecida como maliciosa no momento do envio, a mensagem será entregue com o aviso. Além disso, o sistema continuará monitorando os links após a entrega. Se um link for reclassificado como malicioso posteriormente, o Teams adicionará o aviso de forma retroativa à mensagem original por um período de até 48 horas.

De acordo com a Microsoft, o recurso será ativado por padrão para todos os clientes do Microsoft Defender para Office 365 e clientes empresariais do Teams. Nesses casos, os administradores de TI poderão gerenciar a funcionalidade através do painel de controle da plataforma. A recomendação é que as equipes de suporte e a documentação interna sejam atualizadas considerando os novos parâmetros de segurança.

Além dos alertas, a integração com o Defender também bloqueará o envio de arquivos executáveis (.exe). A justificativa é que os executáveis são um vetor comum para a distribuição de malware. O sistema também impedirá a comunicação vinda de domínios já bloqueados pela segurança da empresa.

Anti-spam da Microsoft apresentou falhas

O sistema de segurança da Microsoft, no entanto, enfrentou problemas antes do início dos testes da nova ferramenta de alertas. Um bug no motor anti-spam da empresa tem causado o bloqueio de links legítimos tanto no Teams quanto no Exchange Online desde o dia 5 deste mês.

Segundo um alerta de serviço capturado pelo portal Bleeping Computer, a falha ocorre porque o sistema identifica incorretamente URLs que estão contidas dentro de outras como potencialmente maliciosas. O bug resultou no bloqueio de mais de 6 mil links válidos e no envio indevido de alguns e-mails para a quarentena.

A Microsoft informou que já implementou uma correção parcial, mas que continua trabalhando para resolver os casos residuais.

Com informações do PC World
Microsoft Teams vai alertar usuários sobre links suspeitos

Microsoft Teams vai alertar usuários sobre links suspeitos
Fonte: Tecnoblog

12