Category: Segurança e Privacidade

Este celular quer devolver ao usuário o controle total dos próprios dados

2 de janeiro de 2026

Este celular quer devolver ao usuário o controle total dos próprios dados

Punkt MC03 evolui design, mantendo configurações de privacidade e segurança (imagem: reprodução)

Resumo

O novo MC03 da Punkt usa o sistema AphyOS, focado em privacidade, eliminando rastreadores e separando dados em ambientes seguros e abertos.
O celular possui especificações como tela OLED de 6 polegadas, câmera de 64 MP, bateria de 5.200 mAh, e suporte a 5G, Bluetooth 5.4 e Wi-Fi 6.
O modelo custa 699 euros e inclui um ano de assinatura gratuita de serviços de privacidade.

A fabricante suíça Punkt, conhecida pelos celulares minimalistas (dumbphones), anunciou o lançamento do MC03, aparelho que segue a premissa de devolver ao usuário o controle total sobre os próprios dados, com um sistema operacional focado em privacidade, segurança e uso mínimo.

Diferentemente dos modelos anteriores da marca, focados apenas em chamadas e textos — com botão e design semelhante ao de calculadoras —, o novo dispositivo traz funcionalidades modernas. Entretanto, o AphyOS, uma versão customizada do Android, elimina rastreadores e coletas de dados comuns em smartphones convencionais.

Sistema operacional dividido

A interface foi desenvolvida pela Apostrophy, empresa parceira da Punkt também sediada na Suíça, e reflete o minimalismo da marca. O sistema possui uma tela inicial em preto e branco que exibe atalhos de texto para funções essenciais como e-mail, calendário e contatos, evitando a distração visual de ícones e gadgets de sistemas convencionais.

O MC03 chega com uma separação dos dados do usuário em dois ambientes distintos. O primeiro, The Vault, é um espaço seguro que roda os aplicativos nativos da Punkt, que foram auditados para garantir privacidade.

Sistema operacional permite uso como “smartphone” (imagem: divulgação/Punkt)

O segundo ambiente é denominado Wild Web, ou Web Selvagem, em que o usuário pode acessar a internet aberta e instalar apps Android comuns através da Play Store. A arquitetura do sistema garante que os apps instalados na Wild Web não tenham acesso aos dados sensíveis no espaço seguro.

Além disso, o aparelho vem com uma suíte de serviços de privacidade integrados, fruto de uma parceria com a Proton. O pacote inclui VPN, gerenciador de senhas, armazenamento em nuvem e e-mail criptografado.

Especificações

Em termos de especificações, o MC03 não busca competir com topos de linha. O aparelho conta com uma tela OLED de 6 polegadas com taxa de atualização de 120 Hz, câmera traseira de 64 MP e uma bateria removível de 5.200 mAh. Com 8 GB de RAM, o dispositivo vem equipado com um chip octa-core MediaTek Dimensity 7300 e possui certificação IP68 contra água e poeira.

Apesar do foco minimalista, o MC03 não deixa de lado tecnologias mais recentes. Em conectividade, o aparelho traz Bluetooth 5.4, Wi-Fi 6 e permite conexão à rede 5G. A Punkt garante pelo menos cinco anos de atualizações de segurança e três anos de updates do Android.

Celular por assinatura

O modelo de negócios da Punkt também foge do padrão. O smartphone custa 699 euros (cerca de R$ 4.300, em conversão direta), preço superior ao do principal concorrente, o Light Phone, que teve a terceira geração lançada em meados de 2024 por US$ 399 (cerca de R$ 2.174).

Além do preço superior, o uso está atrelado a uma assinatura de serviços. A empresa defende que isso é necessário para que o cliente “pague para manter seus dados, em vez de pagar com seus dados”. O primeiro ano de assinatura é gratuito; após esse período, o custo é de cerca de 10 euros mensais.

As vendas do MC03 começam neste mês no mercado europeu. Ainda não há previsão para outras regiões.
Este celular quer devolver ao usuário o controle total dos próprios dados

Este celular quer devolver ao usuário o controle total dos próprios dados
Fonte: Tecnoblog

Itaú alerta: golpistas usaram número oficial para roubar dados de clientes

22 de dezembro de 2025

Itaú alerta: golpistas usaram número oficial para roubar dados de clientes

Itaú está entre os maiores bancos do Brasil (ilustração: Vitor Pádua/Tecnoblog)

Resumo

Itaú alertou que golpistas usaram os números (11) 3004-7717 e (11) 4004-4828 para aplicar golpes simulando centrais legítimas para roubar dados.
O golpe envolve chamadas falsas com tom alarmista, pressionando clientes a fornecer dados sensíveis ou realizar transferências.
O banco reforçou que nunca solicita senhas ou transferências por telefone e recomenda que clientes desliguem ligações suspeitas.

O Itaú começou a alertar os clientes, em 15/12, sobre o uso indevido de dois de seus números oficiais por golpistas. Através dos contatos (11) 3004-7717 e (11) 4004-4828, os criminosos realizaram chamadas falsas e capturaram senhas e dados sensíveis, induzindo as vítimas ao erro ao explorar a confiança nos canais de atendimento já conhecidos.

A ofensiva permite simular a origem das chamadas sem haver, necessariamente, uma invasão aos sistemas internos do banco ou vazamento de dados de correntistas. Segundo o UOL, não é um caso isolado e pode atingir clientes de qualquer instituição financeira.

Como funciona o golpe?

Diferente de ataques cibernéticos tradicionais, que buscam brechas em softwares ou servidores, o mecanismo utilizado nesta fraude é o spoofing. O termo, que vem do inglês “falsificar”, refere-se a uma técnica que permite alterar o identificador de chamadas da rede telefônica.

Na prática, quando o cliente recebe a ligação, o celular exibe o número oficial da central de relacionamento ou até mesmo o nome do gerente de contas, caso o contato esteja salvo na agenda.

A abordagem geralmente envolve um tom alarmista sobre supostas transações suspeitas ou compras de alto valor em sites de e-commerce. O objetivo é pressionar o usuário a agir rapidamente para “bloquear” a operação, fornecendo códigos de autenticação ou realizando transferências de emergência.

Para aumentar a credibilidade, as quadrilhas utilizam gravações que reproduzem com precisão a identidade sonora das instituições, incluindo menus de autoatendimento e músicas de espera idênticas às originais. “O objetivo é induzir o cliente a realizar transferências ou fornecer dados sensíveis”, informou o Itaú em comunicado oficial.

Técnica permite mascarar origem de chamadas (imagem: Mohamed_hassan/Pixabay)

Medidas de proteção

Diante da sofisticação do golpe, o setor financeiro atua para reduzir os riscos. As ações envolvem a ampliação da comunicação preventiva e um trabalho junto às operadoras de telefonia para implementar protocolos que dificultem a alteração do ID de chamadas. A barreira mais eficaz, contudo, continua sendo a educação digital do cliente.

O Itaú reiterou que seus canais legítimos de atendimento possuem diretrizes rígidas de operação que nunca são rompidas. Em sua página de segurança, a instituição destaca alguns pontos fundamentais:

O banco nunca solicita senhas, códigos de iToken ou autorizações por telefone, ou videochamada;

Nenhuma instituição legítima solicita que o cliente realize uma transferência ou pagamento para “cancelar” ou “estornar” um valor supostamente roubado;

Se o banco identificar uma transação suspeita, ele pode ligar para confirmar, mas nunca solicitará dados sensíveis para resolver o problema.

Para evitar cair na armadilha, a orientação das autoridades é desligar imediatamente ao receber uma ligação suspeita — mesmo que o número no visor seja o do banco.

A recomendação é realizar uma nova ligação de volta para o número oficial, partindo de um aparelho diferente, se possível, ou utilizar o chat oficial no aplicativo bancário para confirmar qualquer irregularidade.
Itaú alerta: golpistas usaram número oficial para roubar dados de clientes

Itaú alerta: golpistas usaram número oficial para roubar dados de clientes
Fonte: Tecnoblog

Golpistas usam IA para conseguir reembolso de lojas online

22 de dezembro de 2025

Golpistas usam IA para conseguir reembolso de lojas online

Inteligência artificial está sendo usada para aplicar golpes por meio do e-commerce (ilustração: reprodução/Max Pixel)

Resumo

Golpistas usam IA para criar imagens e vídeos falsos para fraudar reembolsos em plataformas de comércio online chinesas.
A AppZen identificou que 14% dos documentos fraudulentos em setembro de 2025 indicavam uso de IA, enquanto a Ramp bloqueou mais de US$ 1 milhão em notas suspeitas nos últimos 90 dias.
O uso de IA para adulterar imagens em pedidos de reembolso cresceu mais de 15% desde o início de 2025, segundo a Forter.

A disseminação de ferramentas de inteligência artificial capazes de gerar imagens e vídeos realistas começa a produzir efeitos colaterais claros no comércio eletrônico. Plataformas que dependem de provas visuais para validar pedidos de reembolso enfrentam um novo tipo de fraude: comprovantes fabricados digitalmente para simular produtos danificados ou defeituosos.

Anteriormente, tomamos ciência de que trabalhadores nos Estados Unidos estavam usando IA enviar notas e comprovantes falsos. Segundo a AppZen, cerca de 14% dos documentos fraudulentos analisados em setembro de 2025 tinham indícios de uso de IA, um salto expressivo em relação ao ano anterior. A fintech Ramp afirma ter bloqueado mais de US$ 1 milhão (cerca de R$ 5,6 milhões) em notas suspeitas apenas nos últimos 90 dias.

Como a IA está sendo usada para fraudar reembolsos

Já na China, relatos recentes indicam que consumidores passaram a enviar imagens e vídeos gerados ou alterados por IA para justificar pedidos de devolução. Em plataformas como RedNote e Douyin, vendedores e atendentes publicaram exemplos de supostos danos impossíveis de ocorrer na prática, como xícaras de cerâmica “rasgadas” em camadas ou etiquetas de envio com caracteres sem sentido.

Um dos casos que mais repercutiu envolveu a venda de caranguejos vivos. A comerciante Gao Jing recebeu vídeos que mostravam animais supostamente mortos na entrega, mas notou inconsistências. “Minha família cria caranguejos há mais de 30 anos. Nunca vimos um caranguejo morto com as pernas apontadas para cima”, disse a vendedora, em um vídeo que postou no Douyin. A fraude foi confirmada pelas autoridades, e o comprador acabou detido por oito dias.

Golpistas tentam aplicar golpe em comerciante de caranguejos (Imagem: reprodução/Douyin)

Quais são os riscos para consumidores e plataformas?

O problema não se limita à China. A empresa americana Forter estima que o uso de imagens adulteradas por IA em pedidos de reembolso cresceu mais de 15% desde o início do ano. “Essa tendência começou em meados de 2024, mas acelerou no último ano, à medida que as ferramentas de geração de imagens se tornaram amplamente acessíveis e fáceis de usar”, disse Michael Reitblat, CEO e cofundador da empresa.

Segundo ele, nem é necessário que a fraude seja perfeita. Equipes de atendimento e revisão muitas vezes não têm tempo para analisar cada imagem em detalhe. Em alguns casos, grupos organizados chegaram a enviar mais de US$ 1 milhão (R$ 5,6 milhões) em pedidos fraudulentos em janelas curtas de tempo, usando IPs rotativos para dificultar a identificação.

Como resposta, alguns vendedores passaram a usar inteligência artificial para analisar imagens suspeitas. Ainda assim, as soluções são limitadas, e as plataformas nem sempre aceitam essas análises como prova. O risco, alertam especialistas, é que o endurecimento das políticas de devolução acabe prejudicando consumidores legítimos.
Golpistas usam IA para conseguir reembolso de lojas online

Golpistas usam IA para conseguir reembolso de lojas online
Fonte: Tecnoblog

Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura

19 de dezembro de 2025

Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura

Inteligência da Dinamarca detectou DDoS (foto: Markus Winkler/Pexels)

Resumo

O serviço de inteligência da Dinamarca atribuiu à Rússia uma série de ataques cibernéticos contra infraestrutura do país. O anúncio veio nessa quinta-feira (18/12), quando o DDIS (Serviço de Inteligência de Defesa Dinamarquês) divulgou uma avaliação sobre incidentes ocorridos em 2024 e 2025.

Segundo o DDIS, os dois grupos atuam em nome do Estado russo. No caso, o Z-Pentest teria sido responsável pelo ataque a um serviço de água em 2024 enquanto o NoName057(16) teria conduzido ataques de negação de serviço (DDoS) antes das eleições municipais dinamarquesas, realizadas em novembro.

A agência classificou os ataques como parte de uma campanha híbrida russa contra nações ocidentais. O objetivo seria gerar insegurança em países que apoiam a Ucrânia, de acordo com o documento oficial.

Como foram os ataques?

O ataque ao serviço de água teve objetivo de destruir o sistema, embora o DDIS não tenha detalhado a extensão dos danos. Já no caso dos ataques DDoS, o grupo NoName057(16) sobrecarregou sites dinamarqueses, tirando-os do ar durante o período eleitoral.

O serviço de inteligência também afirmou que as eleições municipais foram usadas como plataforma para atrair atenção pública, um padrão observado em outras eleições recentes na Europa.

A Dinamarca apoia a Ucrânia desde a invasão russa de fevereiro de 2022, fornecendo equipamentos militares, treinamento e assistência financeira. O país também participa das sanções internacionais contra Moscou, o que seria a principal motivação para esses ataques.

Reação do governo dinamarquês

O ministro de defesa da Dinamarca, Troels Lund Poulsen, afirmou que os ataques são evidências de que a guerra híbrida mencionada pelo governo agora se concretiza no território europeu.

Em paralelo a isso, o Ministério das Relações Exteriores convocou o embaixador russo para esclarecimentos sobre os incidentes.

Alerta internacional sobre grupos pró-Rússia

Neste mês, a CISA emitiu um alerta conjunto com o FBI, NSA e outras 20 agências de segurança e inteligência de países como Austrália, Canadá, Reino Unido, França e Alemanha.

O documento, atualizado no dia 18 de dezembro, alertou que grupos de hackers ativistas pró-Rússia realizam ataques oportunistas contra infraestrutura crítica global. Além dos grupos já citados pela Dinamarca, o alerta também menciona o CARR (Exército Cibernético da Rússia Renascido) e o Sector16.

Outros países escandinavos enfrentaram situações parecidas. Por exemplo, em agosto, hackers pró-Rússia abriram válvulas de uma barragem na Noruega após invadirem sistemas operacionais da estrutura.
Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura

Dinamarca culpa Rússia por ataques cibernéticos contra infraestrutura
Fonte: Tecnoblog

Extensões de navegador roubam conversas com IA

18 de dezembro de 2025

Extensões de navegador roubam conversas com IA

Extensões coletam diálogos completos de usuários com plataformas de IA (imagem: Nick Velazquez/Mozilla)

Resumo

Extensões de navegador coletam dados de conversas com IA, mesmo com recursos desativados.
A empresa de cibersegurança Koi identificou que algumas extensões, como a Urban VPN Proxy, interceptam e enviam dados de conversas para servidores de terceiros.
Única forma de interromper a coleta é remover as extensões, que pertencem a empresas ligadas à Urban Cyber Security e BiScience.

Usuários podem ter conversas inteiras com inteligências artificiais coletadas e comercializadas sem perceber. Uma investigação da Koi, empresa de cibersegurança, identificou que extensões de navegador populares para VPN, bloqueio de anúncios ou suposta proteção extra interceptam diálogos completos em plataformas de IA e enviam esses dados a servidores de terceiros.

O caso chama atenção não apenas pelo volume de informações coletadas, mas também pelo alcance das ferramentas envolvidas. Juntas, as extensões somam mais de 8 milhões de instalações em lojas oficiais do Google e da Microsoft.

No começo do mês, a mesma empresa revelou que uma campanha hacker, ativa há sete anos, comprometeu a segurança de 4,3 milhões de usuários do Chrome e do Edge, através de backdoors instalados no Clean Master e WeTab.

Como funciona a coleta de dados pelas extensões?

A Koi examinou o código de oito extensões gratuitas. A principal delas é a Urban VPN Proxy, na qual a empresa identificou a coleta de dados pela primeira vez. A extensão teria carregado scripts ocultos que entram em ação sempre que o usuário acessa serviços de IA, como o ChatGPT, Gemini e Claude.

A análise do código mostrou que os complementos inserem esses scripts diretamente nas páginas dos chats. Eles interceptam toda a comunicação antes mesmo de ela aparecer na tela, copiando perguntas, respostas, horários, identificadores de conversa e até o modelo de IA utilizado.

Interação não é roteada pelas APIs legítimas do navegador (imagem: reprodução/Koi)

Como explicou o diretor de tecnologia da Koi, Idan Dardikman, em um e-mail:

“Ao sobrescrever as APIs do navegador, a extensão se coloca no meio do fluxo e captura uma cópia de tudo antes mesmo de a página exibir o conteúdo. A consequência: a extensão vê sua conversa completa em formato bruto — suas perguntas, as respostas da IA, os registros de data e hora, tudo — e envia uma cópia para os servidores deles”.

Idan Dardikman, diretor de tecnologia da Koi

É possível impedir o monitoramento?

Extensões comprimem dados e enviam para endpoints pertencentes ao desenvolvedor (imagem: reprodução/Koi)

Um dos pontos mais críticos é que a coleta ocorre de forma independente das funções anunciadas. Mesmo que o usuário desative a VPN, o bloqueador de anúncios ou qualquer outro recurso da extensão, o monitoramento das conversas com IA continua ativo.

De acordo com a Koi, a única forma de interromper completamente a coleta é desabilitar ou remover a extensão do navegador. Caso contrário, todo novo diálogo com plataformas de IA segue sendo registrado e transmitido.

O Tecnoblog observou que algumas dessas extensões foram tiradas do ar pelas lojas. A empresa de segurança lista os seguintes serviços, todos feitos pelos mesmos desenvolvedores:

Chrome Web Store:

Urban VPN Proxy – 6 milhões de usuários

1ClickVPN Proxy – 600 mil usuários

Urban Browser Guard – 40 mil usuários

Urban Ad Blocker – 10 mil usuários

Microsoft Edge:

Urban VPN Proxy – 1,3 milhão de usuários

1ClickVPN Proxy – 36 mil usuários

Urban Browser Guard – 12 mil usuários

Urban Ad Blocker – 6 mil usuários

As extensões investigadas pertencem a um mesmo ecossistema de empresas ligadas à Urban Cyber Security e à BiScience, que afirmam transformar grandes volumes de dados em inteligência de mercado. Segundo a Ars Technica, até o momento, nem os desenvolvedores e nem Google e Microsoft deram explicações detalhadas sobre o caso.
Extensões de navegador roubam conversas com IA

Extensões de navegador roubam conversas com IA
Fonte: Tecnoblog

Cabine fotográfica expõe imagens de clientes por falha de segurança

16 de dezembro de 2025

Cabine fotográfica expõe imagens de clientes por falha de segurança

Cabine da Hama Film em Melbourne (imagem: reprodução)

Resumo

Uma falha de segurança no armazenamento digital da Hama Film expôs fotos e vídeos de clientes, permitindo acesso público sem autenticação.
O pesquisador Zeacer alertou a Hama Film sobre o problema em outubro, mas não obteve resposta; a falha ainda não foi corrigida.
A exposição de dados reflete a falta de medidas básicas de segurança, como o rate limiting, em sistemas que lidam com informações sensíveis.

Uma empresa que fabrica cabines fotográficas deixou imagens e vídeos de clientes acessíveis na internet por causa de uma falha simples no armazenamento de arquivos. O caso foi revelado por um pesquisador de segurança e se soma a uma série de episódios recentes que levantam preocupações sobre como empresas lidam com dados sensíveis no ambiente digital.

O pesquisador, conhecido como Zeacer, informou ter alertado a Hama Film — fabricante das cabines — ainda em outubro, sem obter resposta. A empresa atua por meio de franquias em países como Austrália, Emirados Árabes Unidos e Estados Unidos. O caso ganhou visibilidade após o pesquisador compartilhar detalhes com o TechCrunch no fim de novembro.

O tema dialoga com um debate mais amplo sobre confiança e controle da informação online, intensificado após experimentos de grandes plataformas com inteligência artificial e distribuição de conteúdo. Em comum, está a dificuldade de garantir transparência e segurança em sistemas que lidam com dados de usuários em larga escala.

Como a falha permitia o acesso às imagens?

Vulnerabilidade permite acesso ao conteúdo dos usuários (Imagem: Blog Zoom/Divulgação)

Segundo o relato, as cabines da Hama Film não apenas imprimem as fotos tiradas pelos clientes, como também enviam esses arquivos para servidores da empresa. O problema estava na forma como esse conteúdo era armazenado e disponibilizado no site, o que permitia que terceiros visualizassem fotos e vídeos sem qualquer tipo de autenticação.

Zeacer compartilhou amostras que em que grupos de jovens posavam nas cabines, indicando que usuários comuns tiveram suas imagens expostas. A empresa controladora da Hama Film, a Vibecast, não respondeu aos alertas enviados pelo pesquisador nem aos pedidos de comentário feitos pela imprensa. O cofundador da Vibecast, Joel Park, também não retornou contatos feitos por redes profissionais.

Até a última atualização do caso, a falha não havia sido totalmente corrigida. Por esse motivo, detalhes técnicos específicos não foram divulgados, para evitar exploração adicional do problema.

Por que esse tipo de exposição ainda acontece?

Inicialmente, o pesquisador observou que as imagens pareciam ser apagadas dos servidores a cada duas ou três semanas. Mais recentemente, o período de retenção teria sido reduzido para cerca de 24 horas, o que limita a quantidade de arquivos expostos em um dado momento. Ainda assim, a vulnerabilidade permitiria que alguém explorasse o acesso diariamente e baixasse todo o conteúdo disponível.

Em determinado momento, mais de mil imagens relacionadas a cabines da Hama Film em Melbourne teriam ficado acessíveis online. O episódio ilustra a ausência de medidas básicas e amplamente adotadas de segurança, como o rate limiting, que dificulta acessos automatizados em massa.

Casos semelhantes já atingiram outras empresas, inclusive em setores sensíveis, mostrando que falhas simples continuam sendo um vetor recorrente de exposição de dados pessoais.
Cabine fotográfica expõe imagens de clientes por falha de segurança

Cabine fotográfica expõe imagens de clientes por falha de segurança
Fonte: Tecnoblog

Proton lança alternativa ao Excel e Google Sheets focada em privacidade

4 de dezembro de 2025

Proton lança alternativa ao Excel e Google Sheets focada em privacidade

Proton Sheets tem criptografia ponta a ponta (imagem: divulgação/Proton)

Resumo

Proton Sheets é um serviço de planilhas online com criptografia ponta a ponta, disponível gratuitamente para usuários do Proton Drive;
Novidade suporta fórmulas comuns e formatos populares como CSV e XLS, permitindo importação fácil e edição colaborativa em tempo real;
Criptografia impede até que a própria Proton acesse o conteúdo das planilhas.

A Proton começou suas operações com um serviço de e-mail, em 2014. Desde então, a companhia vem aumentando seu leque de ferramentas. A mais recente atende pelo nome de Proton Sheets: trata-se de um serviço de planilhas online que tem como diferencial um mecanismo de criptografia ponta a ponta.

O novo serviço suporta as fórmulas mais usadas em outros serviços do tipo para evitar que o usuário tenha uma extensa curva de aprendizado. Além disso, os formatos mais populares, como CSV e XLS, são suportados.

Arquivos nesses padrões podem ser importados facilmente para o Proton Sheets, o que torna a novidade uma alternativa em potencial a ferramentas de planilhas como Google Sheets e, claro, Microsoft Excel.

Outro atributo está na possibilidade de equipes trabalharem juntas nas mesmas planilhas, inclusive com possibilidade de edição em tempo real — as atualizações aparecem para todos os participantes, instantaneamente.

Proton Sheets suporta múltiplos usuários (imagem: divulgação/Proton)

Nesse sentido, também é possível definir níveis de acesso, de modo que determinadas pessoas tenham autorização para editar ou somente visualizar planilhas específicas, por exemplo.

Mas o ponto forte do Proton Sheets é mesmo a criptografia ponta a ponta. Esse recurso impede até que a própria Proton acesse o conteúdo das planilhas ou que os dados sejam utilizados para treinamento de modelos de inteligência artificial, de acordo com a empresa.

É por isso que criamos o Proton Sheets: uma alternativa robusta e focada na privacidade que coloca o controle, a segurança e a confiança de volta onde pertencem — firmemente nas mãos dos usuários.

Anant Vijay Singh, chefe de produto do Proton Drive

Proton Sheets usa fórmulas já conhecidas em outros serviços (imagem: divulgação/Proton)

Quem pode usar o Proton Sheets?

Qualquer pessoa que tiver uma conta no Proton Drive pode usar o Proton Sheets, gratuitamente. O novo serviço também está disponível para organizações que têm planos como o Proton Drive Professional ou o Proton Business Suite.

A novidade aumenta a capacidade da Proton de disputar espaço no segmento de ferramentas de produtividade online com gigantes como Google e Microsoft. A companhia já oferecia serviços como Proton Docs (editor de textos), Proton Calendar (agenda) e Proton Meet (para reuniões por vídeo).
Proton lança alternativa ao Excel e Google Sheets focada em privacidade

Proton lança alternativa ao Excel e Google Sheets focada em privacidade
Fonte: Tecnoblog

Ataque DDoS se torna alvo de operação da Polícia Federal

2 de dezembro de 2025

Ataque DDoS se torna alvo de operação da Polícia Federal

Ataque DDoS se torna alvo de operação da Polícia Federal (imagem: reprodução/PF)

Resumo

Polícia Federal iniciou Operação Intolerans para investigar ataques DDoS contra sites de deputados federais que apoiam Projeto de Lei nº 1904/2024;
Operação incluiu dois mandados de busca e apreensão em São Paulo e Curitiba, com apoio de parceiros estrangeiros;
Sites dos deputados Alexandre Ramagem, Bia Kicis e Paulo Bilynskyj teriam sido alvos dos ataques.

Nesta terça-feira (02/12), a Polícia Federal deflagrou a Operação Intolerans, que tem o objetivo de deter e investigar suspeitos de terem realizado ataques DDoS contra sites de pelo menos três deputados federais que apoiam o Projeto de Lei nº 1904/2024, também conhecido como “PL Antiaborto”.

Ataques do tipo DDoS (negação de serviço distribuído) são aqueles em que os alvos, como sites ou serviços online, ficam sobrecarregados devido a um número muito grande de requisições (acessos) que não são legítimos. Como consequência, esses sites ou serviços ficam instáveis ou inoperantes.

Foi o que aconteceu nos ataques investigados, de acordo com a Polícia Federal:

As investigações identificaram que diversos sites de deputados federais foram alvo de ataques coordenados, resultando em instabilidade e períodos de indisponibilidade, afetando a comunicação institucional e a atuação legislativa.

A Polícia Federal só não deu detalhes sobre como os ataques foram efetuados, muito menos revelou quem são os suspeitos das ações. Sabe-se, porém, que a operação policial envolveu dois mandados de busca e apreensão nas capitais São Paulo (SP) e Curitiba (PR), nesta terça-feira.

Ainda de acordo com a Polícia Federal, a “Operação Intolerans contou com o apoio de parceiros estrangeiros por meio de cooperação jurídica internacional”.

Busca e apreensão da Operação Intolerans (fotos: divulgação/PF)

Quais deputados foram alvos dos ataques DDoS?

As autoridades tampouco revelaram quais parlamentares tiveram seus sites oficiais afetados pelos ataques DDoS, mas uma apuração do jornal O Globo aponta que ao menos três deputados foram alvos da ação: Alexandre Ramagem (PL-RJ), Bia Kicis (PL-DF) e Paulo Bilynskyj (PL-SP).

Todos os três deputados manifestaram apoio ao Projeto de Lei nº 1904/2024, que está parado na Comissão de Previdência, Assistência Social, Infância, Adolescência e Família (CPASF) da Câmara dos Deputados desde agosto de 2024.

A Polícia Federal segue investigando os ataques, em sigilo.
Ataque DDoS se torna alvo de operação da Polícia Federal

Ataque DDoS se torna alvo de operação da Polícia Federal
Fonte: Tecnoblog

Suíça orienta órgãos públicos a evitar Office 365 e outros serviços SaaS

2 de dezembro de 2025

Suíça orienta órgãos públicos a evitar Office 365 e outros serviços SaaS

Governo suíço recomenda evitar a liberação de dados críticos para ambientes externos (imagem: Mateus Andre/Freepik)

Resumo

A Suíça recomenda que órgãos públicos evitem o uso de SaaS, como o Microsoft 365, devido à falta de criptografia de ponta a ponta e riscos de segurança.
A Privatim destaca que serviços SaaS permitem acesso a dados em texto puro e mudanças unilaterais nos termos de serviço, comprometendo a segurança e privacidade.
Casos recentes, como a análise de Luke Marshall sobre exposições no GitLab, reforçam preocupações com a segurança digital global.

Os encarregados de proteção de dados da Suíça alertaram para o uso de softwares em nuvem, como o Microsoft 365 (antigo Office 365), por órgãos governamentais. O grupo, chamado Privatim, recomenda que instituições públicas evitem plataformas SaaS — programas online acessados por meio de uma assinatura — e serviços de grandes provedores internacionais devido a pontos considerados críticos de segurança e privacidade.

O documento, fruto de uma conferência do setor, foi divulgado na semana passada. Ele decorre de uma preocupação crescente com a falta de criptografia de ponta a ponta efetiva e com o risco de acesso indevido a informações estratégicas. A resolução também cita que versões hospedadas em nuvens sujeitas ao CLOUD Act, dos Estados Unidos, não seriam compatíveis com o nível de proteção exigido para dados especialmente sensíveis.

Por que a Suíça desaprova o SaaS no setor público?

Programas do Office ganharam novos ícones em outubro de 2025 (imagem: divulgação/Microsoft)

De acordo com a autoridade de privacidade, muitos serviços SaaS ainda permitem que o provedor acesse dados em texto puro, o que contraria práticas de segurança necessárias para informações protegidas por lei. Outra crítica é a capacidade dessas empresas de alterar unilateralmente seus termos de serviço, o que pode fragilizar garantias previamente contratadas.

“O uso de aplicativos SaaS implica uma perda significativa de controle”Privatim

Para o órgão, quando uma plataforma opera fora do domínio do governo, a instituição não consegue interferir na probabilidade de violações de direitos. A recomendação, portanto, é evitar liberar dados críticos para ambientes externos, salvo em situações em que não haja alternativa.

O texto conclui que, “na maioria dos casos”, soluções de grandes fornecedores internacionais não deveriam ser usadas pelo setor público suíço — com o Microsoft 365 sendo citado explicitamente como exemplo inadequado.

Casos recentes ampliam alerta

Plataformas têm revisado suas políticas diante de riscos relacionados à segurança digital (imagem ilustrativa: TheDigitalWay/Flickr)

Enquanto a Suíça reforça seus critérios, novos episódios destacam as fragilidades do ecossistema digital global.

Um deles envolve a análise do engenheiro de segurança Luke Marshall, que decidiu medir a exposição de informações em repositórios públicos do GitLab. Usando filas da AWS e a ferramenta TruffleHog, ele escaneou 5,6 milhões de projetos e encontrou 17 mil segredos válidos, incluindo credenciais do Google Cloud, chaves da AWS, tokens de bots do Telegram e acessos ao OpenAI. “Isso me custou cerca de US$ 770, mas me permitiu escanear 5,6 milhões de repositórios em cerca de 24 horas”, informou.

Outras plataformas também revisam suas políticas diante de riscos. O aplicativo Strava publicou uma atualização preliminar de termos de uso que responsabiliza totalmente o usuário por eventuais problemas relacionados ao rastreamento de localização. A medida surge após mapas compartilhados na plataforma revelarem posições de agentes de segurança.

No campo da segurança global, o pesquisador Nariman Gharib divulgou documentos que, segundo ele, detalham operações do grupo iraniano Charming Kitten, incluindo desde desenvolvimento de ferramentas ofensivas até ações voltadas a identificar alvos considerados inimigos do regime.

“Cada banco de dados de companhias aéreas violado, cada sistema de reservas de hotéis comprometido, cada clínica médica invadida alimenta um sistema projetado para localizar e matar pessoas que o regime iraniano considera inimigas”, disse ele.

Suíça orienta órgãos públicos a evitar Office 365 e outros serviços SaaS

Suíça orienta órgãos públicos a evitar Office 365 e outros serviços SaaS
Fonte: Tecnoblog

Google nega usar emails para treinar inteligência artificial

24 de novembro de 2025

Google nega usar emails para treinar inteligência artificial

Funções inteligentes existem há anos no Gmail (ilustração: Vitor Pádua/Tecnoblog)

Resumo

O Google negou usar emails do Gmail para treinar sua inteligência artificial, esclarecendo que as reportagens sobre isso são enganosas.
O site Malwarebytes publicou uma retratação, afirmando que as configurações do Gmail não são novas, mas foram reescritas e destacadas recentemente.
A situação gerou desconfiança sobre a privacidade do Google, refletindo a preocupação pública com o uso de dados por big techs.

O Google esclareceu que não está lendo os emails das pessoas para treinar a inteligência artificial. O assunto surgiu na semana passada, depois que um site percebeu mudanças nos ajustes do Gmail. Ele rapidamente ganhou as manchetes, inclusive aqui no Tecnoblog, por causa da desconfiança em torno da IA. “As reportagens são enganosas”, declarou a empresa numa resposta ao site ZDnet.

De acordo com o Google, os chamados Recursos Inteligentes existem há muitos anos no Gmail. Eles permitem, por exemplo, a função que completa automaticamente certas frases. Apesar disso, “não usamos o conteúdo do seu Gmail para treinar nosso modelo de IA Gemini.”

A empresa coloca com todas as letras que não realiza esta prática. Ao contrário, por exemplo, da Meta, que decidiu usar as conversas com a Meta AI para exibição de anúncios a partir de dezembro.

Por sua vez, o site Malwarebytes publicou uma retratação, na qual diz que as configurações do Gmail não são novas, mas que a maneira como o Google “as reescreveu e exibiu levou muitas pessoas (incluindo nós) a acreditar que o conteúdo do Gmail poderia ser usado para treinar os modelos de IA do Google”.

Eles pediram desculpas pelo ocorrido. Na esteira disso, o Tecnoblog também se desculpa pela situação.

Agora, se tem algo que o episódio nos permite concluir, é que as pessoas têm o pé atrás com relação à privacidade do Google. Muitos de nós compreenderam que, sim, o Gmail poderia ter usado as conversas para o treinamento de uma tecnologia que o Google está colocando em todos os seus produtos. Talvez seja um indicativo da nova relação – de temor e desconfiança – que as big techs estão construindo junto ao público.
Google nega usar emails para treinar inteligência artificial

Google nega usar emails para treinar inteligência artificial
Fonte: Tecnoblog

1234