Férias de Verão na Praia com Havaianas

A revista WIRED noticiou nesta semana sobre registros públicos que mostram o Departamento de Segurança Interna dos Estados Unidos incentivando as forças policiais locais em todo o país a interpretar atividades comuns de protesto e logística circundante – incluindo andar de bicicleta, transmitir ao vivo um encontro policial ou andar de skate – como “táticas violentas”. A orientação poderia influenciar os policiais a usar comportamentos cotidianos como pretexto para ação policial. Um bot de contratação de IA usado no site “McHire” do McDonald’s expôs os dados pessoais de dezenas de milhões de candidatos a emprego devido a um grupo de vulnerabilidades de segurança baseadas na web – incluindo o uso da senha “123456” facilmente adivinhável em uma conta de administrador. Enquanto isso, após as devastadoras enchentes da semana passada no Texas que mataram pelo menos 120 pessoas, teorias da conspiração sobre o evento climático extremo ganharam tração suficiente entre extremistas anti-governo, influenciadores do GOP e outros com grande alcance para produzir consequências do mundo real como ameaças de morte. Por fim, os metadados do vídeo de vigilância “bruto completo” capturado perto da cela de Jeffrey Epstein na noite anterior à morte do financista desonrado mostram que não é um vídeo “bruto” de forma alguma. Em vez disso, de acordo com uma análise da WIRED e especialistas em forense digital de vídeos, o vídeo completo é composto por dois clipes e provavelmente foi processado usando software de edição poderoso. E há mais. A cada semana, reunimos as notícias de segurança e privacidade que não cobrimos em profundidade. Clique nos títulos para ler as histórias completas. E mantenha-se seguro por aí. Anteriormente neste ano, três varejistas no Reino Unido – Harrods, Co-Op e M&S – foram prejudicados por ataques cibernéticos. Algumas prateleiras ficaram vazias por semanas, e executivos da M&S esperam que os ataques custem cerca de £300 milhões ($407 milhões) no total. Esta semana, autoridades policiais da Agência Nacional de Crimes (NCA), equivalente ao FBI do país, anunciaram a prisão de quatro pessoas como parte das investigações dos três ataques. Uma mulher de 20 anos, dois homens de 19 anos e outro de 17 foram todos presos em suas casas em West Midlands e Londres na quinta-feira de manhã. Um dos homens de 19 anos é da Letônia, enquanto os outros são do Reino Unido, diz a NCA. Eles são suspeitos de potenciais crimes da Lei de Uso Indevido de Computadores, extorsão, lavagem de dinheiro e “participação nas atividades de um grupo criminoso organizado”, afirmou a NCA em comunicado. Os ataques contra os três varejistas britânicos foram amplamente vinculados, incluindo parcialmente pela NCA, ao grupo cybercriminoso solto Scattered Spider. O grupo de hackers, que surgiu pela primeira vez em 2022, é composto em grande parte por jovens que falam inglês e foi visto recentemente visando varejistas, companhias aéreas e a indústria de seguros no Reino Unido e nos EUA. Os criminosos não perderam tempo para começar a usar a IA generativa para criar imagens de abuso sexual infantil ultra-realistas. Agora, enormes volumes de conteúdo ilegal criado por IA estão sendo encontrados online, com os criminosos passando a usar a tecnologia para criar vídeos, além de imagens estáticas. Durante os primeiros seis meses deste ano, analistas da Internet Watch Foundation, uma organização sediada no Reino Unido que remove material de abuso sexual infantil da web, identificaram 1.286 vídeos gerados por IA que mostram abuso – mais de 1.000 dos vídeos mostraram o tipo mais grave de abuso. “Existe um risco incrível de CSAM gerado por IA levar a uma explosão absoluta que sobrecarrega a web clara”, disse Derek Ray-Hill, o CEO interino da Internet Watch Foundation. Números separados do Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC) dos EUA afirmam que recebeu 485.000 denúncias de CSAM AI no primeiro semestre deste ano – até dos 67.000 durante todo o ano passado. Cerca de 35 empresas de tecnologia relataram encontrar CSAM gerado por IA em suas plataformas, disse o NCMEC. Em um raro caso de aplicação da lei ocidental realmente colocar as mãos em um suposto hacker patrocinado pelo Estado chinês, a polícia italiana prendeu Xu Zewei, um homem de 33 anos de Xangai, em um aeroporto de Milão em 3 de julho. A polícia agiu com base em um mandado emitido pelo Departamento de Justiça dos EUA pedindo a prisão de Xu por acusações de hacking. As autoridades alegam que ele é membro do grupo de espionagem conhecido como Tufão de Seda ou Háfnio, que realizou extorsões de dados generalizadas de governos ocidentais e empresas do setor privado por anos. Os promotores dos EUA acusam especificamente Xu de participar de hacking do Tufão de Seda que visava pesquisadores que trabalhavam para desenvolver uma vacina contra a Covid-19 em 2020 e 2021. Ele também é acusado de participar de uma campanha de hacking muito menos direcionada na qual o mesmo grupo invadiu dezenas de milhares de servidores de troca da Microsoft ao redor do mundo, deixando para trás portas dos fundos para reconhecimento posterior. O advogado de Xu negou as acusações, dizendo ser um caso de identidade trocada, e a esposa de Xu também teria dito que ele é um técnico de TI na empresa GTA Semiconductor. Em mais notícias de hackers supostamente presos em aeroportos europeus – e um caso muito incomum de cibercriminoso supostamente trabalhando como “bico” – a polícia francesa deteve esta semana o jogador profissional de basquete russo Daniil Kasatkin no aeroporto Charles de Gaulle, em Paris, acusando-o de fazer parte de um grupo de ransomware. As autoridades ainda não nomearam a equipe de ransomware da qual afirmam que Kasatkin fazia parte, mas afirmam que de 2020 a 2022 ela atingiu quase 900 organizações, incluindo duas agências governamentais americanas. O advogado de Kasatkin, Frédéric Bélot, negou as acusações, dizendo que seu cliente é “inútil com computadores e nem consegue instalar um aplicativo”. Kasatkin, que jogava pela equipe de basquete profissional MBA Moscou, viajou para a França com a sua noiva para pedi-la em casamento. Aqui está seu lembrete anual, entusiastas atléticos da divulgação excessiva de informações, para configurar as configurações de privacidade da sua conta Strava como privadas. Nesta semana, o jornal Dagens Nyheter da Suécia revelou que sete guarda-costas de autoridades do governo sueco deixaram públicas suas contas Strava, revelando suas localizações enquanto realizavam 1.400 atividades físicas – e, em muitos casos, as localizações das pessoas que estavam protegendo, incluindo o primeiro-ministro sueco, Ulf Kristersson. As localizações vazadas do primeiro-ministro incluíam hotéis onde ele ficava, endereços particulares, uma viagem em família, viagens ao exterior e sua residência particular, que deveria ser secreta. Repita comigo, entusiastas do Strava com autorizações de segurança: vá até Configurações, toque em Controles de Privacidade, depois em Atividades. Escândalo futuro evitado.