Sign up to save your podcasts
Or
Share #388 – ANPD e as farmácias, phishing de Troy Hunt, Brainrot vídeos e o SignalGate
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#388 – ANPD e as farmácias, phishing de Troy Hunt, Brainrot vídeos e o SignalGate
Aprofundamos a análise sobre a atuação da ANPD e as práticas de proteção de dados em grandes redes de farmácias, discutindo o tratamento de dados sensíveis e a conformidade com a LGPD. Comentamos o caso de phishing que afetou o especialista Troy Hunt e os riscos da inteligência artificial nos vídeos ‘brain rot’. Além disso, detalhamos o ‘SignalGate’, um escândalo sobre o uso do Signal e as falhas de segurança da informação no governo Trump, mostrando como a falta de políticas de segurança pode gerar um vazamento de dados crítico. A segurança digital e a criptografia não são infalíveis, e este episódio prova isso. Assine, siga e avalie o Segurança Legal para não perder nenhuma análise.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 388, gravado em 28 de março de 2024. Eu sou o Guilherme Goulart e, desta vez, sem o Vinícius Serafim, pelo menos não na gravação em conjunto. Vinícius está viajando e deixou um áudio e um vídeo aqui para nós, uma participação já gravada, que eu vou inserir aqui depois ou durante a minha fala. De qualquer forma, vamos trazer para você algumas das notícias das últimas semanas que nos chamaram mais atenção.
(00:37) Você já sabe, é o momento de falarmos sobre as notícias e acontecimentos que nos chamaram a atenção, tomando às vezes um café de verdade. Hoje temos apenas uma água. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe: enviar suas críticas e sugestões é muito fácil.
(00:59) Basta enviar uma mensagem para o [email protected] ou também lá no Mastodon, no Blue Sky e no Instagram. Nós pedimos sempre que você considere apoiar o projeto Segurança Legal. Basta acessar o apoia.se/segurancalegal, escolher uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram.
(01:29) A ideia é simples: se você gosta do Segurança Legal, deste programa, considere apoiar. É uma oportunidade que você tem de apoiar um projeto de produção de conhecimento independente e que você vai conseguir acompanhar pelo menos duas vezes por mês.
(01:56) A gente tenta gravar toda semana, mas nem sempre consegue. Você vai ter a garantia de ter um projeto e informação de qualidade sobre os temas que a gente trata aqui: Direito da Tecnologia, Segurança da Informação, Proteção de Dados e também Tecnologia e Sociedade. O nosso último episódio sobre IA e pensamento crítico foi também nessa linha. Tem o blog da Brownpipe, você consegue acessar o nosso blog em brownpipe.com.br.
(02:17) É a empresa que mantém também este podcast, na qual eu e o Vinícius somos sócios. E também o YouTube. Você pode estar nos ouvindo pelo áudio, mas se quiser ver os nossos rostinhos bonitos, também pode ir lá no YouTube e fazer tudo aquilo que a gente sempre pede que o espectador do YouTube faça: ativar o sininho para que, toda vez que vier um vídeo novo, você consiga ver, e curtir o vídeo, porque isso, no final das contas, ajuda o algoritmo.
(02:41) Nós acabamos ficando reféns dos algoritmos, mas, de qualquer forma, com isso você também vai estar contribuindo para que mais pessoas consigam assistir e ouvir o Segurança Legal. Vamos começar hoje, então, com uma mensagem de ouvinte. O nosso amigo conhecido, Dimas Rockenbar, mandou a seguinte mensagem se referindo ao último episódio em que nós falamos sobre o pensamento crítico na IA: “Boa tarde, Vinícius. Boa tarde, Guilherme. Gostei muito do episódio, especialmente a parte onde vocês reforçam como a IA funciona”.
(03:13) “Ela só dá respostas baseadas naquilo que ela foi treinada, que por sua vez é puro conhecimento humano”. Ele coloca “humano” em caixa alta. “É preocupante pensar, e compartilho a visão do Vinícius nisso, de que as pessoas vão ‘emburrecer’ se acostumando com as respostas dadas pela IA, sem que a devida criação de conhecimento ocorra, sem usar o pensamento crítico para discernir if as respostas estão certas ou erradas”. A própria ideia de criação do conhecimento também foi ficando mais diluída nos últimos tempos, nos últimos anos.
(03:43) Se a gente for pensar até naquela frase de que “andamos nos ombros de gigantes”, ou seja, a gente também constrói conhecimento com base no que foi construído no passado. Na minha opinião, acho que a gente corre um pouco o risco de perder também aquilo que não está na internet. Eu estava ouvindo novamente o nosso episódio da semana passada e me ocorreu isso. Todos esses livros que estão aqui, que eventualmente não estão na internet, ou estão referenciados com uma ou outra coisa.
(04:18) A gente corre o risco também de supervalorizar o que está na internet e subvalorizar aquilo que não está.
(04:36) E eu repito o que eu disse no último episódio, até sobre aqueles conhecimentos de povos que não estão adequadamente representados no treinamento do modelo. Então, você vai ter uma série de culturas, uma série de línguas que, eventualmente, vão estar sub-representadas nos dados que foram usados para treinar aquele modelo, e aquele conhecimento, que também é tão importante, pode ficar cada vez mais esquecido, como já acontece com outros grupos, como os indígenas no Brasil. Você tem toda uma parte cultural dos indígenas, aqui no Rio Grande do Sul inclusive.
(05:07) E que acabaram se perdendo, estão lá nos livros, alguns livros ainda falam sobre isso, mas foram se perdendo ao longo do tempo por uma série de outras razões. Mas o Dimas continua: “Acredito que o percentual apresentado no artigo reflete a sociedade de maneira irregular. Concordo contigo”.
(05:25) Acho que a amostra que eles pegaram não foi muito boa. Tem muito mais pessoas acreditando e assumindo como verdade as respostas das IAs do que pessoas com pensamento crítico e capacidade para avaliar se aquilo faz um mínimo sentido. E isso se conecta um pouco com uma notícia que eu vou trazer hoje aqui sobre o “Brain Rot” no Instagram. Ele continua: “Lembrei-me de um vídeo-entrevista com Isaac Asimov”.
(05:53) “Onde ele imaginava no futuro uma mistura de internet com Wikipedia, um local onde conhecimento praticamente ilimitado pudesse ser adquirido por qualquer pessoa a qualquer momento, de qualquer lugar. Essa utopia é linda, mas não evoluímos tanto a ponto de ver isso em prática e a única coisa que falta é vontade”.
(06:12) Eu iria também mais além. Eu acho que também há uma série de interesses, sobretudo das big techs, sobre qual é a visão delas para um futuro de internet, para um futuro digital e, claro, consequentemente, como elas vão poder lucrar com esse futuro. Então, me parece que os rumos que as tecnologias em geral, sobretudo aquelas acessíveis via internet, vão tomar, também estão diretamente relacionadas com os interesses comerciais dos donos das grandes plataformas.
(06:50) E a gente está vendo isso acontecendo hoje, agora. Logo depois do governo Trump, a gente está vendo uma ampliação, inclusive, de baixar um pouco a guarda nas regulações, na imposição de limites a práticas que eles vão realizar.
(07:09) E isso eu acho que está bem no cerne do que você está colocando aqui. “A curva de evolução que está numa ascendente resultou na criação das IAs, parece que vai ter uma grande recaída antes de subir novamente numa visão de longo prazo”. Ótimo. Ótimo, Dimas, obrigado aí pela tua contribuição. Fique sempre conosco e um abraço para você também.
(07:29) Primeira notícia aqui de hoje: nós vamos falar sobre a ANPD e as farmácias. Esse é um assunto, na verdade, de certa forma antigo. Ele é de fevereiro deste ano. Nós tínhamos deixado para falar sobre ele no Café passado, que foi no início de março, por conta de férias, mas também não deu tempo, tínhamos outras coisas.
(08:06) E eu decidi trazê-lo, achei por bem trazê-lo novamente aqui no café de hoje, porque eu acho que foi um dos grandes temas, uma das grandes atuações da ANPD, porque afeta todos nós. O problema do tratamento de dados pessoais e de dados pessoais sensíveis pelas farmácias é um dos grandes temas de proteção de dados no país. Esse tema começa com o processo instaurado lá em 2023.
(08:39) Eu leio aqui: com o objetivo de investigar a coleta, o armazenamento e o compartilhamento, portanto, o tratamento de dados pessoais realizados por redes de drogarias e operadores de programas de fidelização e benefícios. E envolveu a Raia Drogasil, a Stix e a Febrafar, que é a Federação Brasileira das Redes Associativistas e Independentes de Farmácias.
(09:03) Isso começa com um diálogo anterior da ANPD com essas entidades. Foram feitos estudos preliminares da própria ANPD para tentar entender melhor como é esse cenário e esse mercado. E aí se nota muito bem aquela intenção da ANPD de não sair multando todo mundo, mas começar num processo muito mais de conscientização e de formação de uma cultura de segurança e de proteção de dados no Brasil.
(09:34) Isso se vê aqui. E, basicamente, foram levantados dois problemas que já foram tratados aqui no próprio Segurança Legal. Eu lembro de um dos episódios, inclusive, que nós falamos sobre as farmácias, foi além daqueles episódios 361 e 362, nos quais eu e o Vinícius submetemos alguns dados retirados das farmácias para uma IA, para saber que perfil poderíamos formar de uma pessoa com base nos dados de compra.
(10:12) Mas lá no episódio 169, “Uso de dados por farmácias”, episódio esse que contou com um hoje participante da ANPD, o David Teófilo, que trabalha na ANPD. Então, foi o David Teófilo e a Luiza Brandão, dois grandes pesquisadores, estudiosos da temática na época no Iris.
(10:38) E eles fizeram na época, veja lá, em setembro de 2018, uma representação sobre o uso de dados pessoais de farmácias. Então, não é algo novo, é algo que já era conhecido, mas que, enfim, a ANPD achou por bem agir agora. Então, quais foram os problemas levantados? Problemas nos programas de fidelização. Na verdade, os dois programas que foram analisados e os consequentes problemas.
(10:57) Os programas foram os de fidelização da própria farmácia e alguns programas gerenciados por terceiros, que seriam aqueles gerenciados pela Febrafar e pela Stix. Febrafar e Stix têm um modelo de negócios, uma ferramenta white label que eles entregam para as farmácias para que as próprias farmácias customizem aquela ferramenta para oferecer com a marca da referida farmácia.
(11:29) Os problemas maiores acabaram se concentrando na Droga Raia, uma grande rede brasileira que também é dona de uma plataforma de marketing que já foi fruto de diversas discussões, de diversos problemas. Houve grandes preocupações quanto à proteção de dados e de dados sensíveis nessa dinâmica da Droga Raia de captar e coletar dados sensíveis, dados relacionados às compras realizadas nas farmácias, e acabar usando esses dados para atividades de marketing, inclusive em situações bastante discutíveis. Lembrando que esse RD Station Marketing, que é da Droga Raia…
(12:06) …essa outra plataforma, se alimenta dos dados obtidos nas farmácias e eles vendem isso como uma grande plataforma de publicidade muito assertiva. Claro, se eu tenho um público de milhões e milhões de pessoas com dados agregados que, eventualmente, só eles têm, porque coisas que você vai comprar e medicamentos você só vai comprar em farmácias, basicamente. Então você tem um ramo de possibilidades aí que nenhuma outra empresa tem, o que é bastante valioso.
(12:39) Levantaram, então, que vários dados eram coletados pela Droga Raia, seja dados financeiros, dados sensíveis, como consumo farmacêutico, mas não somente: uso de aplicação de vacinas, dados acerca das prescrições, testes laboratoriais (sim, algumas farmácias fazem isso) e também biometria, que foi um dos grandes problemas, o uso da biometria para autenticar pessoas nessas farmácias. Um dos temas que chamou bastante atenção, para mim e também para a ANPD, isso foi crucial.
(13:13) É que as políticas da Droga Raia eram, na sua maioria, bastante inespecíficas. E esse é um problema que nós falamos quando fazemos treinamento, quando apoiamos empresas no processo de adequação: as políticas devem ser o mais específicas possível, devem dizer de forma clara quais são as práticas realizadas naquele tratamento de dados ao qual a política se refere.
(13:44) Porque, veja, isso é um direito do titular dos dados obter as informações sobre como seus dados são tratados. Então, quanto menos específica ela for, mais os direitos dos titulares vão ser afetados e menos ele vai saber exatamente sobre como os seus dados são tratados. Mais uma vez, os titulares têm o direito de ter informações sobre os seus dados.
(14:10) A questão da biometria, eu já tinha comentado. Não somente o uso da biometria era um problema, mas também a falta de informações sobre as finalidades no uso dessa biometria, o que viola o chamado princípio da necessidade. Ou seja, o agente de tratamento tem o dever de usar o mínimo de dados possíveis para uma determinada finalidade.
(14:36) E a gente sabe que, especificamente no próprio caso das farmácias, as autenticações podiam ser feitas de outras formas, sem o uso da biometria. Inclusive, essa foi a recomendação da ANPD: usar outros meios de autenticação, deixando de usar mais esse dado sensível que é a biometria. Também foram encontrados problemas acerca do armazenamento de dados. Diante da inespecificidade das políticas, eles não informavam os períodos de armazenamento.
(15:15) Havia várias políticas esparsas que se referiam de forma inespecífica quanto ao período de armazenamento, de forma genérica sobre certos períodos, mas não informavam exatamente quais eram os períodos relacionados aos tipos ou às categorias dos dados tratados. E eles chegaram, em um momento, a afirmar que não iam revelar os prazos de armazenamento por conta de segredo comercial e que a política de retenção dos dados seria sigilosa, o que é um verdadeiro absurdo.
(15:41) Confronta basicamente vários princípios e direitos, tanto de proteção de dados quanto os direitos do titular. É óbvio, você tem que saber qual é o prazo de tratamento dos seus próprios dados, inclusive numa situação como essa. A recomendação que veio foi de permitir que os titulares obtenham informações sobre o tempo de armazenamento e que eles apresentem à ANPD a política de retenção de dados e também uma tabela de temporalidade.
(16:09) Nós já recomendamos isso para clientes também: em situações mais complexas, mais delicadas, com muitas categorias e prazos diferentes, fazer uma tabela de temporalidade, seja para orientar as atividades internas, mas também para informar aos clientes, para que ele consiga ter uma visão geral sobre o tempo de armazenamento dos seus dados.
(16:25) Outro problema também muito comum, e isso não é somente da indústria farmacêutica, esses problemas aqui são comuns. De certa forma, essa atuação da ANPD é importante também para as empresas, porque conseguem enxergar as violações que eventualmente elas cometem. Apesar de eles fornecerem dados sobre as finalidades — ou seja, a ANPD pediu para que eles informassem quais eram as finalidades dos dados por eles tratados…
(16:56) …ela descobriu por outras fontes que houve omissões muito importantes por parte da Droga Raia e que dados de históricos de compras estavam sendo usados para finalidades fora daquelas informadas nas políticas, e eventualmente quando a hipótese era o tratamento fora do consentimento.
(17:21) Isso é muito grave. Quando a gente fala em gravidade em incidentes ou em violação da Lei Geral de Proteção de Dados, usar dados fora das finalidades informadas é algo muito grave. Descobriram desde situações em que informações e perfis de consumo estavam sendo vendidos para outras empresas.
(17:47) E muito interessante, eu acho que nós falamos isso aqui em algum episódio, o CEO da RD Ads, que é o braço da Droga Raia que faz essa parte de marketing digital, deu uma entrevista falando sobre alguns usos que eles faziam dos dados, e a ANPD trouxe a fala da entrevista. Basicamente, havia uma contradição na fala dele acerca das informações repassadas no próprio procedimento promovido pela ANPD.
(18:15) Ou seja, no procedimento, eles disseram uma coisa e, na entrevista, o CEO da RD Ads disse outra, afirmando que outros tratamentos eram feitos, diferentemente do que foi informado no procedimento administrativo pela própria farmácia.
(18:38) Outro problema: apesar de dizerem que usavam o consentimento para controlar o uso de dados para publicidade, não tinha ficado claro para os titulares que seria realizada a perfilização para publicidade. Ou seja, precisaria de um consentimento mais específico, não somente para o uso de dados. Porque essa é uma outra coisa: uma coisa é você usar os dados para publicidade simplesmente. Por exemplo, eu coleto o teu e-mail na minha pizzaria e você dá o consentimento para que eu te envie e-mail marketing sobre promoções de pizza.
(19:14) Simplesmente eu pego o teu e-mail e envio o mesmo e-mail para todo mundo que está na base. Isso é uma coisa. Outra coisa é eu fazer uma perfilização com base nos teus hábitos de consumo, vendo quais os dias que você mais pede pizza, quais os sabores que você mais gosta, quais as circunstâncias em que você pediria…
(19:50) …feriados, enfim, usar essa informação para criar um perfil e encaminhar comunicações em datas ou situações que você pudesse estar mais apto a comprar. Note que são duas situações completamente diferentes, e a segunda, a perfilização, é muito mais crítica и exige um consentimento específico.
(20:14) E notem, aqui no caso das farmácias, estamos falando de perfilização envolvendo dados sensíveis, o que é mais crítico ainda. O consentimento era classificado e transmitido, as informações em torno dele diziam que era simplesmente para uso de dados de mídia em geral.
(20:40) Só que o cliente, depois de dar o consentimento, também não conseguia revogá-lo. Ou seja, era um problema de modulação do consentimento e de falta de clareza. Basicamente, você estava consentindo para uma coisa, e os dados estavam sendo usados para outra. Além de as políticas não informarem sobre a utilização do histórico de compras para essa perfilização. Lembrando que isso acabava entrando numa rede de anúncios. Porque como esse data broker, que seria a RD Ads, funcionaria?
(21:19) Ele pegaria esses dados, criaria perfis e conectaria esses perfis com redes de anúncios e com ligação com outros data brokers. Nós temos um episódio aqui também, um dos episódios mais famosos do Segurança Legal, é o episódio dos data brokers, o episódio 52, lá de 2014, onze anos atrás.
(21:45) Então, eles se conectam com outras redes de data brokers. É isso que permite que o sujeito, identificado com um determinado perfil com base nas compras da farmácia dele — e note aquela integração do mundo offline com o online — compre algo na farmácia e, de repente, no celular dele começa a aparecer um tipo de publicidade, seja entregue pela rede do Google ou em um aplicativo aleatório que você tem. Isso estaria sendo conectado dessa forma. E aí, nesse caso, a recomendação foi dar informações sobre a criação de perfis comportamentais.
(22:22) Informando sobre o compartilhamento com a RD Ads, que está sendo feita publicidade personalizada com base em perfis, que há compartilhamento de dados com empresas terceiras. E, a partir daqui, em relação à RD, vai ser instaurado um processo sancionador para avaliar o tratamento dos dados sensíveis para essa perfilização fora do amparo legal.
(22:47) Então isso aqui é meio que preparatório. Em relação à Stix, não se encontrou nada, basicamente arquivou-se o processo, porque eles respeitaram a LGPD nas suas práticas. Em relação à Febrafar, eles comunicaram à ANPD, informaram algo assim, absurdo na minha visão: falaram que os dados são armazenados por tempo indeterminado, o que é plenamente contra a lei. Uma vez que termina a finalidade ou o tratamento e não há nenhuma outra norma que obrigue a empresa a armazenar aqueles dados, o dado deve ser excluído.
(23:25) Então, isso me chamou bastante atenção, o fato de eles informarem à ANPD que os dados eram armazenados por tempo indeterminado, embora nas políticas eles dessem algumas pistas de que seria por 5 anos depois do término da relação com a empresa.
(23:51) Aqui, o problema maior foi relacionado ao consentimento, que era dado para nove usos diferentes. O que a ANPD apontou é que não era possível consentir para cada um desses usos de forma separada. O consentimento, na medida do possível, tem que ser granular.
(24:13) Se a hipótese é o tratamento, eu tenho nove usos e possibilidades diferentes. O que a empresa deve fazer é atuar para permitir que você consiga, de forma granular, consentir com um e, eventualmente, não com outro. A não ser naquelas situações em que todos aqueles consentimentos são necessários para que você use um serviço.
(24:40) Mas notem, via de regra, o consentimento para publicidade não é necessário para você utilizar um determinado serviço. Então, esse “tudo ou nada” aqui é o que eles buscaram afastar. E lembrando, qual é o contexto desses usos de dados? Outra coisa que a gente sempre fala aqui: o contexto é de você utilizar, muitas vezes — e claro que nas farmácias os descontos acabam sendo dados não só para medicamentos, mas também para produtos de higiene, na maioria das vezes. Mas é um contexto que, quando a gente fala em medicamentos, você precisa daquele produto.
(25:16) Não é algo que você possa escolher. Eventualmente até consegue trocar de produto, mas o cerne dessa questão é que você precisa comprar aquele produto porque, se você não tomar, pode até morrer. É nesse contexto que a gente precisa olhar para o consentimento e entender, inclusive, se ele está sendo dado de forma livre. O consentimento tem uma série de adjetivações, e o fato de ele ser livre é uma dessas qualificações.
(25:53) “Manifestação livre, informada e inequívoca”, diz a LGPD. É nesse sentido. Quando a gente começa a colocar descontos dados também pelos laboratórios, há uma rede de descontos, na verdade.
(26:18) Ou vem pelo laboratório, ou vem pela própria farmácia, ou vem por outros programas. Eu, enquanto advogado, por exemplo, a OAB me oferece alguns descontos lá também. No caso da Febrafar, essas informações eram omissas. Não havia informações, e as que eram dadas eram, em alguns casos, inconsistentes. Note que todo esse cenário é avaliado numa perspectiva de digitalização dos dados coletados pelas lojas, só que também há uma falha e uma omissão de informações no atendimento presencial.
(26:59) Eles trouxeram até sites dessas ferramentas e dessas empresas, ou seja, você conseguiria realizar alguns controles pelo próprio site. Enfim, mas você, ouvinte, se colocando no lugar de um consumidor de uma farmácia, você se lembra de ter visto cartazes na farmácia falando sobre LGPD? Ou você se lembra de, em alguma das vezes que interagiu com o atendente, ele ter te dado informações sobre o tratamento de dados, te pedido algum tipo de consentimento, conversado contigo sobre esse tema? A gente sabe que, pelo menos eu, nunca recebi.
(27:36) Na verdade, quando a gente tenta não dar o CPF, no final das contas os atendentes — claro, não é culpa deles, definitivamente — acabam te olhando como se você fosse um extraterrestre.
(27:55) E a dinâmica, todo o contexto dessas interações, também deve ser olhado. Eles comentaram que nenhum ramo da economia dá descontos tão altos e que haveria, nesse caso, também um problema lateral, que seria a própria maquiagem dos preços. Ou seja, eles fazem uma maquiagem de preços para induzir o consumidor a dar os seus dados sem os esclarecimentos necessários, numa tentativa de fragilizar a própria liberdade do consentimento. É basicamente isso. Tem mais coisas aqui.
(28:33) E a gente vai deixar no show notes o link para que você possa ler não somente a notícia, mas também os documentos relacionados: notas técnicas, os despachos e decisórios aqui. Então, se você tem interesse e atua na área de proteção de dados, invista um tempo para dar uma estudada nesses documentos todos, porque é a jurisprudência agora da ANPD. Se atuamos nessa área, precisamos entender muito bem como essas coisas se dão.
(29:09) A atuação da agência vai nos ajudar a entender melhor a dinâmica de tratamento de dados e do funcionamento da própria ANPD aqui no Brasil. Bom, vocês devem conhecer, se acompanham o Segurança Legal, já devem ter ouvido falar de um cara chamado Troy Hunt. O Troy Hunt é um dos maiores e mais famosos consultores de segurança da informação do mundo.
(29:48) E ele, o Troy Hunt, é fundador do site “Have I Been Pwned?”, que a gente já falou várias vezes aqui também. Aquele serviço que permite que você saiba se as tuas credenciais vazaram na internet, ele te avisa e tudo mais. É um cara que tem uma reputação muito conhecida na área de segurança da informação, uma atuação muito respeitada. Investiu o tempo dele para criar o “Have I Been Pwned?”.
(30:13) É uma pessoa conhecida na área. Bom, o que aconteceu? O Troy Hunt, e aí ele fala sobre isso aqui no blog dele, ele caiu num phishing. E aqui ele dá todos os detalhes técnicos. Louvável, inclusive, em épocas em que as empresas e as pessoas tendem a buscar esconder incidentes. Ele vem, e ele sempre falou da necessidade de ser transparente na comunicação de incidentes.
(30:45) Ele caiu num phishing que, basicamente, a criticidade não foi tão grande. Permitou que os atacantes tivessem acesso aos nomes e e-mails das contas de e-mail dos assinantes do serviço de mailing dele, que era gerenciado pelo Mailchimp. Basicamente, os atacantes induziram o Troy Hunt a colocar suas credenciais num site falso de login do Mailchimp, e isso permitiu que eles tivessem acesso a dados de, mais ou menos, pouco menos de 16.000 pessoas.
(31:19) Eu até achei que eram mais pessoas que assinavam o mailing lá do Troy Hunt. Ele veio a público, claro, informou o incidente, pediu desculpas. Alguns detalhes são interessantes. Primeiro, ele criticou o Mailchimp por manter dados de usuários que cancelaram a inscrição.
(31:43) Ele diz que quase metade dos usuários que tinham cancelado a inscrição ainda tinham os dados guardados lá. E ele criticou o motivo de o Mailchimp fazer isso. A gente pode buscar algumas explicações, e me parece que há explicações para isso, até na própria perspectiva de tratamento de dados pessoais. Ter algum registro de que a pessoa pediu o cancelamento para que você, sei lá, não envie um e-mail depois.
(32:15) Poderíamos ir por esse caminho. Algum tipo de registro de que aquela interação houve, o registro de que ela pediu o cancelamento do mailing. Isso poderia ser uma explicação. Mas, ao mesmo tempo, pessoas que quiseram sair daquele mailing acabaram sendo afetadas. Sabe-se lá quem teve acesso a esses dados. E-mail, nome e também endereços IPs de eventuais acessos que foram feitos.
(32:41) Outra coisa: o phishing foi bem sofisticado. A mensagem era muito bem elaborada e conseguiu bypassar o próprio 2FA que ele utilizava. Isso demonstra que o 2FA não é infalível. O atacante fez um relay imediato do código. Ou seja, ele colocou a senha, colocou o código e, provavelmente por meio de um script, imediatamente foi feito o login no site original, o site real do Mailchimp. Outra coisa, e eu acho que isso é bem importante, ele disse que estava muito cansado quando tudo aconteceu.
(33:13) Fisicamente cansado. E isso foi crucial, me parece, porque ele estava desatento, acabou baixando a guarda. Ele comentou que o atacante não tinha como saber que ele estava cansado naquele momento, mas houve uma infeliz coincidência. Na criação desse phishing, ele comentou que a engenharia social envolvida foi boa. A mensagem dizia que ele não ia mais conseguir encaminhar o mailing dele, e aquilo criou um senso de receio, de medo, mas também um certo senso de urgência para que ele resolvesse aquela situação.
(34:05) A gente sabe que há alguns gatilhos psicológicos que podem permitir que as pessoas, às vezes de forma irrefletida, cliquem naquilo, acessem aquele conteúdo. Isso foi bem interessante. Uma outra questão que eu achei bem interessante: ele reconheceu também que isso deveria ter acendido um alerta para ele, e ele não se atentou. Ele usava, assim como grande parte das pessoas de segurança — na verdade, como todas as pessoas deveriam fazer — cofres de senha que fazem o preenchimento automático.
(34:40) Então, quem usa esses serviços, como o 1Password, você entra no site e, em geral, tem um botãozinho que você clica e ele preenche. Isso não aconteceu. Não houve esse preenchimento, não houve o aparecimento da informação de que tinha as credenciais, claro, porque era um outro site. Ele não se deu conta disso, seguiu adiante e caiu no phishing.
(35:09) A mensagem aqui é muito simples: um dos maiores consultores de segurança do mundo caiu num phishing. Claro, ele estava cansado, e isso é importante também, porque a gente не consegue estar 100% do tempo atento para as ameaças que estão chegando, e elas chegam numa frequência cada vez maior. O próprio cenário de golpes no Brasil, a gente sabe que é insano.
(35:45) Agora até diminuiu um pouco, mas aquelas ligações da falsa central telefônica são um negócio absurdo. Eu, que toda semana pesquiso jurisprudência para o mailing dos nossos clientes aqui, envolvendo proteção de dados, vejo rios de ações judiciais contra bancos envolvendo essas ações da falsa central telefônica, do falso motoboy, de falsos contatos por WhatsApp. Claro que isso tudo é alimentado por outros dados vazados, que acabam dando credibilidade a esses phishings. Mas no caso dele foi algo mais simples.
(36:22) Foi uma coincidência muito ruim. Se um dos maiores pesquisadores de segurança do mundo caiu no phishing, qualquer pessoa pode cair. Claro, também é um alerta para que a gente não baixe a nossa guarda, para que tenhamos uma conduta zelosa, mesmo quando cansados. É difícil dizer isso, mas ter uma conduta muito atenta. Outra hora a gente pode vir a falar sobre isso, sobre outras formas, outras dicas, outras recomendações. Tem pessoas que usam duas máquinas, dois telefones, para separar os sistemas e usos em dispositivos diferentes.
(37:00) Tem uma série de coisas que dá para se falar sobre isso, mas eu achei interessante trazer. E a humildade dele também de vir e falar. Porque mesmo que o impacto seja pequeno aqui, nome do mailing do Troy Hunt, poderia ter sido pior. E aí também faz com que a gente tenha atenção.
(37:28) Outra coisa: o Two-Factor Authentication não é infalível. A gente acha que é uma bala de prata, mas não é. Assim como o caso do Signal que a gente vai ver depois, se aproxima um pouco da crença que as pessoas têm na tecnologia. Bom, quem acessa o Instagram com frequência já deve ter visto um tipo de vídeo muito característico gerado por IA. O pessoal lá da 404 Media fez essa reportagem sobre o “Brain Rot” criado por IA no Instagram.
(38:13) É uma série de conteúdos… a gente já falou sobre esse termo “brain rot”, o apodrecimento do cérebro. Aqueles efeitos que certos conteúdos têm no cérebro humano, seja por nos acostumar a consumir conteúdos de baixíssima qualidade em feeds contínuos, o que causaria esse efeito, que foi palavra do ano e tudo mais.
(38:44) É uma tendência que a gente vem notando. E eu achei muito curiosa essa reportagem. Eventualmente, já chegou até mim alguns desses conteúdos, e eu sempre achei um negócio meio tolo, meio idiota, mas tem pessoas que usam. A gente sabe como não somente crianças, que eventualmente podem estar sendo afetadas por esse conteúdo.
(39:12) Mas também pessoas que começam a entrar num fluxo de acesso e consumo desse tipo de conteúdo de baixíssima qualidade, de baixíssima densidade intelectual. O que essa reportagem traz é que se notou uma tendência de vídeos gerados por IA que estão sendo publicados de maneira muito intensa.
(39:42) Vocês estão vendo aí no vídeo, ele traz alguns links aqui, mas eu não vou clicar porque têm algumas coisas bem absurdas. Sei lá, Peppa Pig num banheiro, uma prática meio escatológica para dizer o mínimo. Gerações de vídeos com pessoas reais, no sentido de simular, como o caso aqui que ele está mostrando, do LeBron James e de outros artistas.
(40:22) E também certos nichos que ele já vem notando, que seria a sexualização de personagens infantis e também posts racistas gerados por inteligência artificial. Então, não é um conteúdo engrandecedor, bem pelo contrário. No caso do racismo, é conteúdo criminoso. E a sexualização de personagens infantis pode, eventualmente, ser um caminho para atrair certos grupos de pessoas interessadas nesse tipo de conteúdo. Por que isso está acontecendo? Segundo a reportagem, a ideia é provocar um tipo de engajamento pelo absurdo da mensagem.
(40:59) Ou seja, aquilo é tão absurdo que, para algumas pessoas, elas podem acreditar que é real — isso é um baita de um problema também. Mas a forma de engajamento seria que, por ser tão absurdo, as pessoas começariam não somente a reclamar e a criticar, o que gera engajamento, como também a encaminhar para outras pessoas, tipo: “olha esse absurdo aqui”. Esses conteúdos já estão sendo monetizados, e as redes sociais, no caso aqui o Instagram, não têm feito muito para conter.
(41:33) Ou, pelo menos, para informar as pessoas de que aquele conteúdo é sintético, para lidar de alguma forma um pouco mais protetora com certos interesses, sobretudo para aquelas pessoas que entram no fluxo e acabam consumindo de uma maneira um tanto irrefletida esses conteúdos.
(41:53) Ele traz também a informação de que no Discord já há grupos ensinando como fazer esses “brain rots”. Ele destaca que as próprias ferramentas também não estão fazendo nada, bem pelo contrário, sobretudo quando esses vídeos envolvem pessoas reais, sejam elas famosas ou não. Mas isso é um grande problema também.
(42:17) E as redes, como o próprio Instagram, também não estariam cuidando disso. Ao contrário, estão impulsionando. E claro, a lógica a gente sabe: se gera mais cliques, gera mais publicidade, gera mais dinheiro. As pessoas que publicam acabam ganhando também, e isso vira um ciclo bem vicioso, de um tipo de conteúdo que não me parece que favoreça o melhor interesse das pessoas. Claro, você pode simplesmente não usar o Instagram, mas é uma tendência que a gente começa a notar de uma certa invasão de conteúdos sintéticos. Esse é o ponto.
(42:55) Nós já estamos consumindo conteúdos sintéticos em massa nas redes sociais. Se este tipo de conteúdo, “brain rot videos” aqui, especificamente no Instagram, pode estar fazendo mal para as pessoas — assim como a gente já viu o Instagram, como eles já sabiam que aquela dinâmica fazia mal para meninas e tudo mais. Inclusive, uma notícia que eu não trouxe, mas é necessário reconhecer: eles agora aprimoraram o papel das escolas. Quando a escola faz uma reclamação, eles priorizariam as reclamações e os pedidos de retirada feitos por escolas.
(43:33) Claro, porque as escolas, por estarem mais perto dos estudantes, conseguiriam identificar as situações. É um ponto interessante. Mas por trás disso, também temos outras coisas acontecendo, e de forma muito rápida.
(43:53) É muito difícil até para a gente entender os impactos e os efeitos disso. Aquela própria série sobre adolescentes, que chamou bastante atenção no mundo inteiro, do Netflix, aborda um pouco isso: o fato de os pais, dos professores não entenderem direito o que está acontecendo, não entenderem direito aquelas dinâmicas em que os adolescentes estão envolvidos.
(44:21) Tudo isso converge, me parece, para tratar também o tipo de conteúdo que a gente vai colocar lá dentro. E note: se isso é manipulação, e é, se eu estou efetivamente manipulando as pessoas por meio de uma enxurrada de conteúdos sintéticos que vão fazer com que elas engajem naquilo — e com a IA o potencial de manipulação é maior ainda. Porque se eu consigo personalizar de maneira praticamente infinita o conteúdo, potenciais de manipulação podem aparecer.
(44:57) E isso não me parece que seja muito bom, na linha do que colocou aqui também o Jason Koebler. Bom, e por fim, pessoal, vocês ficaram até aqui, já viram no nome do episódio que a gente vai falar sobre o SignalGate, aquele caso lá que aconteceu nos Estados Unidos.
(45:26) O Vinícius, essa semana a gente estava conversando, ele disse: “Não, vou ter que viajar”. E eu estava preparando a pauta, já estava mais ou menos com ela preparada, e pensei: “Bah, mas não vamos deixar de gravar essa semana”. Eu tinha um tempinho aqui na sexta-feira, então pedi para ele. Perguntei se ele estava acompanhando mais o caso SignalGate. Ele disse: “Não, tô, tô por dentro”. Pedi para ele gravar um conteúdo.
(45:46) Ele gravou o conteúdo que você vai ouvir agora e, depois, eu vou fazer alguns comentários sobre o comentário do Vinícius sobre o SignalGate. Vamos lá.
(46:02) [Vinícius] Olá, Guilherme. Olá, ouvinte do Segurança Legal.
(46:12) Hoje eu estou gravando aqui para poder participar do episódio, já que eu vou estar viajando nesta sexta-feira. Eu vou comentar, conforme a gente combinou, Guilherme, para os nossos ouvintes, o caso do Signal. Eu montei até uma timeline aqui para a gente poder entender o que aconteceu. Eu acho que todo mundo ouviu falar, pelo menos, da questão do Signal com relação ao governo Trump.
(46:36) Mas, para situar tudo, para início de conversa, o Signal é um mensageiro instantâneo que nem o WhatsApp. Ele implementa um protocolo de segurança, de criptografia ponta a ponta e tudo mais, mas é um aplicativo para uso comercial. Você pode baixar de graça no seu celular e sair utilizando. Eu, particularmente, uso também o WhatsApp, claro, mas eu tenho uma certa preferência pelo Signal.
(47:07) Bom, mas o que aconteceu? No dia 11 de março, o jornalista Jeffrey Goldberg, da The Atlantic, ele é editor-chefe da The Atlantic, recebe uma solicitação no celular do Michael Waltz, que é o Conselheiro de Segurança Nacional dos Estados Unidos. Uma solicitação de contato, ele aceita. E no dia 13, dois dias depois, o Goldberg, o jornalista, é adicionado a um grupo com o nome “Houthi Small Group”, um grupo no Signal.
(47:53) E aí que começa a história toda com o Signal. Esse grupo tinha vários membros do governo Trump, de altíssimo nível. E eles estavam compartilhando nesse grupo detalhes sobre ataques aos Houthis, que estavam ameaçando a passagem no Canal de Suez. Bom, isso foi no dia 13, a inclusão no grupo.
(48:30) O próprio Goldberg disse que ele achou que isso fosse algum tipo de brincadeira ou armação. Ele ficou quieto, ficou acompanhando, até que ele percebeu que, numa das mensagens, foi colocado o horário em que haveria o ataque aos Houthis. Então, o Goldberg estava no estacionamento de um supermercado, sentado, esperando para ver se encontrava alguma notícia no Twitter no horário previsto e, para surpresa dele, o ataque de fato aconteceu.
(49:08) A gente está falando aí de 13 dias depois do primeiro contato que fizeram com Goldberg. O ataque de fato aconteceu. No dia 24 de março, o Goldberg resolve publicar uma matéria expondo o vazamento e confirmando que ele foi incluído no grupo. Notem que, até então, ninguém tinha percebido que tinha um jornalista no grupo em que eles estavam discutindo detalhes de uma ação militar contra os Houthis.
(49:49) Com relação aos detalhes, vocês vão ouvir o pessoal falando que não foi nada demais, não tinha muita informação. Tinha sim. Tinha detalhe dos armamentos utilizados, a hora que os aviões sairiam para o ataque, a hora esperada do ataque, os alvos, onde estavam possíveis terroristas e tudo mais.
(50:12) E toda essa informação foi sendo colocada lá no Signal. A primeira reação do Trump e dos membros do gabinete dele foi de dizer que não foi nada importante, que não tinha nenhuma informação importante. Aí o Goldberg vai lá e expõe, mostra as informações, mostra que a coisa realmente era importante.
(50:42) Aí eles começam a aceitar a ideia de que aconteceu alguma coisa errada. O próprio Trump muda um pouco o discurso dele. No início, ele disse que não sabia de nada, depois disse que não foi nada, e depois começou a dizer que foi o único erro até então do governo dele, segundo ele. E aí a gente tem, na sequência, claro que isso virou um grande escândalo, porque não só pelo fato de eles terem, sem querer — ou sabe-se lá se por querer, mas pelo visto sem querer —, inserido um jornalista dentro de um grupo que estava discutindo detalhes de uma operação militar.
(51:18) Algo que é extremamente sensível, informação que exige um nível de clearance, como se chama, para poder acessar, bastante alto, e eles estavam com um jornalista lá no grupo e não se deram conta.
(51:40) Não só esse foi um problema, mas também, talvez o maior problema além do jornalista estar ali, é o fato de eles estarem usando uma aplicação comercial, sabidamente alvo de ataque por russos e outros Estados que têm interesse em conseguir violar a comunicação do Signal. Eles usaram essa aplicação para fazer a comunicação de informações altamente sensíveis sobre uma operação militar.
(52:14) Agora, já faz alguns dias, o Congresso, alguns participantes — não dá para dizer o Congresso todo, porque a gente sabe muito bem como está organizado lá —, alguns congressistas americanos começaram a cobrar fortemente o que eles estão chamando de uma das maiores falhas de inteligência na história dos Estados Unidos. É uma coisa que o pessoal está levando realmente muito a sério, está dando muito pano para manga. O que chama a atenção, pensando no nosso cenário, nas empresas e tudo mais…
(52:51) …é que esse tipo de falha, esse tipo de erro que eles cometeram, essencialmente foi sair do procedimento padrão, violar as políticas de uso de aplicações ou de meios de comunicação para utilizar algo que eles decidiram utilizar no telefone deles.
(53:17) E a partir daí, por mais que o Signal seja seguro em termos de criptografia ponta a ponta, ele não tem recursos para, por exemplo, isolar quem pode participar desses grupos. Então, se alguém inserir por engano um jornalista, o jornalista vai entrar. É um desvio claro das políticas de segurança do governo dos Estados Unidos para se trocar esse tipo de informação.
(53:54) Então, a lição que fica, primeiro, é que a gente tem que acompanhar a continuação dessa discussão lá. Mas a lição que fica é que, uma vez que existe um procedimento, uma política, e é importante definir políticas de segurança nas empresas, é importante que essas políticas sejam seguidas. Porque, daqui a pouco, alguém resolve exportar um arquivo contendo informações da tua empresa de uma forma diferente do que havia sido previsto, resolve usar o próprio e-mail pessoal para mandar esse arquivo para ele mesmo para usar numa apresentação ou coisa parecida. Pronto. Já saiu do caminho.
(54:32) Já saiu do que havia sido definido das políticas e tudo mais. E aí a gente pode ter, de repente, um incidente desses dentro da nossa própria empresa. Tá bom? Por enquanto é isso, gente. Eu lamento não estar esta sexta-feira aí com vocês. Eu vou estar, como eu disse, viajando. Na sexta-feira que vem, eu devo estar de volta. Valeu, Guilherme. Valeu, galera.
(54:59) Um abraço. Até a próxima.
(55:00) [Guilherme] Bem, pessoal, interessante. Claro, a nossa especialidade aqui, o foco desse tema no Segurança Legal, não é fazer uma análise de política internacional. Para isso, certamente o pessoal do Xadrez Verbal vai falar, eu tenho certeza que eles vão falar sobre isso. Então, a gente remete os interessados na parte de política internacional para o Xadrez Verbal. Mas a gente consegue fazer, claro, observações do ponto de vista da segurança da informação.
(55:38) E, ao mesmo tempo, como cada vez mais, grandes temas do mundo têm no centro a segurança da informação. A segurança acaba ficando cada vez mais importante. Os grandes conflitos acabam envolvendo segurança, os grandes problemas da humanidade também, claro que não todos, mas acabam envolvendo segurança.
(56:03) Isso é muito interessante de se ver, para o bem e para o mal. Eu lembro também de um artigo que o Vinícius escreveu com o Raul Weber, que foi orientador dele no mestrado. Não estou certo se o título não é “Técnicas de segurança da informação: da teoria e prática”, em que eles falavam sobre aquela tríade da segurança, que é política, mecanismo e cultura.
(56:43) Você tem uma política, essa política é implementada muitas vezes por alguns mecanismos de segurança, e você também tem uma cultura, que seria a forma como as pessoas se comportam, a autorresponsabilidade das pessoas no sentido de também atuar de forma segura. É um tripé, e cada vez que você tira um desses pés, ele cai. A segurança seria feita desses três domínios: política, mecanismo e cultura.
(57:12) No caso do SignalGate, como têm chamado, o uso do Signal, o uso da criptografia de um aplicativo de criptografia fim a fim, é um mecanismo somente, que não deveria estar sendo utilizado nesse contexto, é verdade, mas ele é somente um mecanismo. E segurança не se faz somente com mecanismo.
(57:30) Essa é uma das grandes verdades da segurança. Na verdade, a segurança não se faz somente com um desses elementos que eu coloquei. Não se faz somente com política sem mecanismo, não se faz somente com cultura sem política e mecanismo. Preciso de uma integração dessas três coisas. Há também, e quando eu estava ouvindo esse áudio do Vinícius, me ocorreu uma das grandes ironias desse caso todo: o fato de que a criptografia, os seus primórdios, os seus rudimentos, nasceram numa perspectiva de proteção de segredos de guerra lá entre os gregos, as cidades-estado gregas.
(58:01) E como esses rudimentos, que depois no Egito aparecem… estava até dando uma folheada hoje no “The History of Information Security”, que tem um capítulo que vai da antiguidade até a Renascença, que seria, segundo o autor, uma redescoberta desses mecanismos clássicos. O Gerhard Strasser, em “The Rise of Cryptology and the European Renaissance”, faz um apanhado histórico sobre a criptografia.
(58:40) E a própria limitação aqui. Interessante pensar nisso. Claro que a gente sempre tem que ver, quando fala em segurança da informação, sobretudo para agentes de Estado, muito mais do que para empresas, você tem que saber quem é o teu adversário. Isso é crucial para você pensar em segurança da informação.
(59:12) Os conselheiros de um presidente certamente vão encontrar os adversários mais poderosos do mundo, sobretudo o presidente dos Estados Unidos. Então, quem é o seu adversário, além de você mesmo, além das próprias limitações que eles demonstraram ali? É preciso saber quem é o teu adversário nesse modelo adversarial. E, claro, a criptografia aplicada no Signal, tem outra questão: ela também protege as informações em trânsito, não protege as comunicações que, eventualmente, estão armazenadas no celular dessas pessoas, que pode ser perdido, furtado, ou pode ter um malware lá dentro que tira um print da tela.
(59:44) São tantas as possibilidades que fariam com que, de fato, esse caso seja um fiasco. Eu estava lendo algumas notícias sobre o caso, que vão ficar lá no show notes, e os americanos usam essa palavra “fiasco” também, mas acho que com uma conotação muito mais impactante do que a que nós usamos aqui. Eles reservam “fiasco” para situações bastante sérias, e me parece que esta é uma situação efetivamente séria para que se use “fiasco”. Vai ficar também, pessoal, ali no show notes, uma reportagem da “The Daily Beast” que fala sobre como descobriram que, de alguns dos conselheiros do presidente, se consegue encontrar na internet uma série de credenciais deles, telefones pessoais.
(1:00:23) E a própria Tulsi Gabbard, que era a Diretora de Inteligência Nacional, que estava envolvida junto com John Ratcliffe, Diretor da CIA… vejam, gente, Diretor da CIA, Diretor de Inteligência Nacional, trocando esse tipo de conteúdo num Signal, provavelmente em telefones pessoais. Não sei se essa questão foi abordada, mas se foi, pior ainda.
(1:00:53) Credenciais dessas pessoas seria possível de conseguir: os números delas, a foto de Instagram, a foto de WhatsApp e tal. Então, “The Daily Beast” traz isso e, claro, as consequências são claras e se conectam com o caso do phishing lá do Troy Hunt, de que se pode utilizar esses dados em uma série de outros contextos.
(1:01:19) Fica aí como última notícia. Fechando uma hora já, consegui segurar a peteca e não deixar a peteca cair. Uma das decisões aqui que a gente teve é: nós temos que falar sobre o SignalGate. Eu acho que esse caso, como o Vinícius colocou, vai ter outros desdobramentos. A gente vai ficar atento, evidentemente, como sempre faz. Teve já audiência no Senado. O Vinícius adora ouvir aquelas audiências do Senado americano. Hoje, com IA, fica um pouco mais fácil, você consegue fazer alguns resumos de vídeos e tal, eventualmente não precisa assistir 3, 4 horas de audiência.
(1:01:53) Nós vamos voltar a falar sobre isso e é o que eu espero. Estou ansioso para ver os desdobramentos desse caso aí nos Estados Unidos. Então, pessoal, agradecemos a todos e todas que nos acompanharam até aqui e nos encontraremos, agora de volta com o Vinícius, no próximo episódio do podcast Segurança Legal. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Aprofundamos a análise sobre a atuação da ANPD e as práticas de proteção de dados em grandes redes de farmácias, discutindo o tratamento de dados sensíveis e a conformidade com a LGPD. Comentamos o caso de phishing que afetou o especialista Troy Hunt e os riscos da inteligência artificial nos vídeos ‘brain rot’. Além disso, detalhamos o ‘SignalGate’, um escândalo sobre o uso do Signal e as falhas de segurança da informação no governo Trump, mostrando como a falta de políticas de segurança pode gerar um vazamento de dados crítico. A segurança digital e a criptografia não são infalíveis, e este episódio prova isso. Assine, siga e avalie o Segurança Legal para não perder nenhuma análise.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 388, gravado em 28 de março de 2024. Eu sou o Guilherme Goulart e, desta vez, sem o Vinícius Serafim, pelo menos não na gravação em conjunto. Vinícius está viajando e deixou um áudio e um vídeo aqui para nós, uma participação já gravada, que eu vou inserir aqui depois ou durante a minha fala. De qualquer forma, vamos trazer para você algumas das notícias das últimas semanas que nos chamaram mais atenção.
(00:37) Você já sabe, é o momento de falarmos sobre as notícias e acontecimentos que nos chamaram a atenção, tomando às vezes um café de verdade. Hoje temos apenas uma água. Então, pegue a sua bebida preferida e venha conosco. Para entrar em contato conosco, você já sabe: enviar suas críticas e sugestões é muito fácil.
(00:59) Basta enviar uma mensagem para o [email protected] ou também lá no Mastodon, no Blue Sky e no Instagram. Nós pedimos sempre que você considere apoiar o projeto Segurança Legal. Basta acessar o apoia.se/segurancalegal, escolher uma das modalidades de apoio e, entre os benefícios recebidos, você terá acesso ao nosso grupo exclusivo de apoiadores lá no Telegram.
(01:29) A ideia é simples: se você gosta do Segurança Legal, deste programa, considere apoiar. É uma oportunidade que você tem de apoiar um projeto de produção de conhecimento independente e que você vai conseguir acompanhar pelo menos duas vezes por mês.
(01:56) A gente tenta gravar toda semana, mas nem sempre consegue. Você vai ter a garantia de ter um projeto e informação de qualidade sobre os temas que a gente trata aqui: Direito da Tecnologia, Segurança da Informação, Proteção de Dados e também Tecnologia e Sociedade. O nosso último episódio sobre IA e pensamento crítico foi também nessa linha. Tem o blog da Brownpipe, você consegue acessar o nosso blog em brownpipe.com.br.
(02:17) É a empresa que mantém também este podcast, na qual eu e o Vinícius somos sócios. E também o YouTube. Você pode estar nos ouvindo pelo áudio, mas se quiser ver os nossos rostinhos bonitos, também pode ir lá no YouTube e fazer tudo aquilo que a gente sempre pede que o espectador do YouTube faça: ativar o sininho para que, toda vez que vier um vídeo novo, você consiga ver, e curtir o vídeo, porque isso, no final das contas, ajuda o algoritmo.
(02:41) Nós acabamos ficando reféns dos algoritmos, mas, de qualquer forma, com isso você também vai estar contribuindo para que mais pessoas consigam assistir e ouvir o Segurança Legal. Vamos começar hoje, então, com uma mensagem de ouvinte. O nosso amigo conhecido, Dimas Rockenbar, mandou a seguinte mensagem se referindo ao último episódio em que nós falamos sobre o pensamento crítico na IA: “Boa tarde, Vinícius. Boa tarde, Guilherme. Gostei muito do episódio, especialmente a parte onde vocês reforçam como a IA funciona”.
(03:13) “Ela só dá respostas baseadas naquilo que ela foi treinada, que por sua vez é puro conhecimento humano”. Ele coloca “humano” em caixa alta. “É preocupante pensar, e compartilho a visão do Vinícius nisso, de que as pessoas vão ‘emburrecer’ se acostumando com as respostas dadas pela IA, sem que a devida criação de conhecimento ocorra, sem usar o pensamento crítico para discernir if as respostas estão certas ou erradas”. A própria ideia de criação do conhecimento também foi ficando mais diluída nos últimos tempos, nos últimos anos.
(03:43) Se a gente for pensar até naquela frase de que “andamos nos ombros de gigantes”, ou seja, a gente também constrói conhecimento com base no que foi construído no passado. Na minha opinião, acho que a gente corre um pouco o risco de perder também aquilo que não está na internet. Eu estava ouvindo novamente o nosso episódio da semana passada e me ocorreu isso. Todos esses livros que estão aqui, que eventualmente não estão na internet, ou estão referenciados com uma ou outra coisa.
(04:18) A gente corre o risco também de supervalorizar o que está na internet e subvalorizar aquilo que não está.
(04:36) E eu repito o que eu disse no último episódio, até sobre aqueles conhecimentos de povos que não estão adequadamente representados no treinamento do modelo. Então, você vai ter uma série de culturas, uma série de línguas que, eventualmente, vão estar sub-representadas nos dados que foram usados para treinar aquele modelo, e aquele conhecimento, que também é tão importante, pode ficar cada vez mais esquecido, como já acontece com outros grupos, como os indígenas no Brasil. Você tem toda uma parte cultural dos indígenas, aqui no Rio Grande do Sul inclusive.
(05:07) E que acabaram se perdendo, estão lá nos livros, alguns livros ainda falam sobre isso, mas foram se perdendo ao longo do tempo por uma série de outras razões. Mas o Dimas continua: “Acredito que o percentual apresentado no artigo reflete a sociedade de maneira irregular. Concordo contigo”.
(05:25) Acho que a amostra que eles pegaram não foi muito boa. Tem muito mais pessoas acreditando e assumindo como verdade as respostas das IAs do que pessoas com pensamento crítico e capacidade para avaliar se aquilo faz um mínimo sentido. E isso se conecta um pouco com uma notícia que eu vou trazer hoje aqui sobre o “Brain Rot” no Instagram. Ele continua: “Lembrei-me de um vídeo-entrevista com Isaac Asimov”.
(05:53) “Onde ele imaginava no futuro uma mistura de internet com Wikipedia, um local onde conhecimento praticamente ilimitado pudesse ser adquirido por qualquer pessoa a qualquer momento, de qualquer lugar. Essa utopia é linda, mas não evoluímos tanto a ponto de ver isso em prática e a única coisa que falta é vontade”.
(06:12) Eu iria também mais além. Eu acho que também há uma série de interesses, sobretudo das big techs, sobre qual é a visão delas para um futuro de internet, para um futuro digital e, claro, consequentemente, como elas vão poder lucrar com esse futuro. Então, me parece que os rumos que as tecnologias em geral, sobretudo aquelas acessíveis via internet, vão tomar, também estão diretamente relacionadas com os interesses comerciais dos donos das grandes plataformas.
(06:50) E a gente está vendo isso acontecendo hoje, agora. Logo depois do governo Trump, a gente está vendo uma ampliação, inclusive, de baixar um pouco a guarda nas regulações, na imposição de limites a práticas que eles vão realizar.
(07:09) E isso eu acho que está bem no cerne do que você está colocando aqui. “A curva de evolução que está numa ascendente resultou na criação das IAs, parece que vai ter uma grande recaída antes de subir novamente numa visão de longo prazo”. Ótimo. Ótimo, Dimas, obrigado aí pela tua contribuição. Fique sempre conosco e um abraço para você também.
(07:29) Primeira notícia aqui de hoje: nós vamos falar sobre a ANPD e as farmácias. Esse é um assunto, na verdade, de certa forma antigo. Ele é de fevereiro deste ano. Nós tínhamos deixado para falar sobre ele no Café passado, que foi no início de março, por conta de férias, mas também não deu tempo, tínhamos outras coisas.
(08:06) E eu decidi trazê-lo, achei por bem trazê-lo novamente aqui no café de hoje, porque eu acho que foi um dos grandes temas, uma das grandes atuações da ANPD, porque afeta todos nós. O problema do tratamento de dados pessoais e de dados pessoais sensíveis pelas farmácias é um dos grandes temas de proteção de dados no país. Esse tema começa com o processo instaurado lá em 2023.
(08:39) Eu leio aqui: com o objetivo de investigar a coleta, o armazenamento e o compartilhamento, portanto, o tratamento de dados pessoais realizados por redes de drogarias e operadores de programas de fidelização e benefícios. E envolveu a Raia Drogasil, a Stix e a Febrafar, que é a Federação Brasileira das Redes Associativistas e Independentes de Farmácias.
(09:03) Isso começa com um diálogo anterior da ANPD com essas entidades. Foram feitos estudos preliminares da própria ANPD para tentar entender melhor como é esse cenário e esse mercado. E aí se nota muito bem aquela intenção da ANPD de não sair multando todo mundo, mas começar num processo muito mais de conscientização e de formação de uma cultura de segurança e de proteção de dados no Brasil.
(09:34) Isso se vê aqui. E, basicamente, foram levantados dois problemas que já foram tratados aqui no próprio Segurança Legal. Eu lembro de um dos episódios, inclusive, que nós falamos sobre as farmácias, foi além daqueles episódios 361 e 362, nos quais eu e o Vinícius submetemos alguns dados retirados das farmácias para uma IA, para saber que perfil poderíamos formar de uma pessoa com base nos dados de compra.
(10:12) Mas lá no episódio 169, “Uso de dados por farmácias”, episódio esse que contou com um hoje participante da ANPD, o David Teófilo, que trabalha na ANPD. Então, foi o David Teófilo e a Luiza Brandão, dois grandes pesquisadores, estudiosos da temática na época no Iris.
(10:38) E eles fizeram na época, veja lá, em setembro de 2018, uma representação sobre o uso de dados pessoais de farmácias. Então, não é algo novo, é algo que já era conhecido, mas que, enfim, a ANPD achou por bem agir agora. Então, quais foram os problemas levantados? Problemas nos programas de fidelização. Na verdade, os dois programas que foram analisados e os consequentes problemas.
(10:57) Os programas foram os de fidelização da própria farmácia e alguns programas gerenciados por terceiros, que seriam aqueles gerenciados pela Febrafar e pela Stix. Febrafar e Stix têm um modelo de negócios, uma ferramenta white label que eles entregam para as farmácias para que as próprias farmácias customizem aquela ferramenta para oferecer com a marca da referida farmácia.
(11:29) Os problemas maiores acabaram se concentrando na Droga Raia, uma grande rede brasileira que também é dona de uma plataforma de marketing que já foi fruto de diversas discussões, de diversos problemas. Houve grandes preocupações quanto à proteção de dados e de dados sensíveis nessa dinâmica da Droga Raia de captar e coletar dados sensíveis, dados relacionados às compras realizadas nas farmácias, e acabar usando esses dados para atividades de marketing, inclusive em situações bastante discutíveis. Lembrando que esse RD Station Marketing, que é da Droga Raia…
(12:06) …essa outra plataforma, se alimenta dos dados obtidos nas farmácias e eles vendem isso como uma grande plataforma de publicidade muito assertiva. Claro, se eu tenho um público de milhões e milhões de pessoas com dados agregados que, eventualmente, só eles têm, porque coisas que você vai comprar e medicamentos você só vai comprar em farmácias, basicamente. Então você tem um ramo de possibilidades aí que nenhuma outra empresa tem, o que é bastante valioso.
(12:39) Levantaram, então, que vários dados eram coletados pela Droga Raia, seja dados financeiros, dados sensíveis, como consumo farmacêutico, mas não somente: uso de aplicação de vacinas, dados acerca das prescrições, testes laboratoriais (sim, algumas farmácias fazem isso) e também biometria, que foi um dos grandes problemas, o uso da biometria para autenticar pessoas nessas farmácias. Um dos temas que chamou bastante atenção, para mim e também para a ANPD, isso foi crucial.
(13:13) É que as políticas da Droga Raia eram, na sua maioria, bastante inespecíficas. E esse é um problema que nós falamos quando fazemos treinamento, quando apoiamos empresas no processo de adequação: as políticas devem ser o mais específicas possível, devem dizer de forma clara quais são as práticas realizadas naquele tratamento de dados ao qual a política se refere.
(13:44) Porque, veja, isso é um direito do titular dos dados obter as informações sobre como seus dados são tratados. Então, quanto menos específica ela for, mais os direitos dos titulares vão ser afetados e menos ele vai saber exatamente sobre como os seus dados são tratados. Mais uma vez, os titulares têm o direito de ter informações sobre os seus dados.
(14:10) A questão da biometria, eu já tinha comentado. Não somente o uso da biometria era um problema, mas também a falta de informações sobre as finalidades no uso dessa biometria, o que viola o chamado princípio da necessidade. Ou seja, o agente de tratamento tem o dever de usar o mínimo de dados possíveis para uma determinada finalidade.
(14:36) E a gente sabe que, especificamente no próprio caso das farmácias, as autenticações podiam ser feitas de outras formas, sem o uso da biometria. Inclusive, essa foi a recomendação da ANPD: usar outros meios de autenticação, deixando de usar mais esse dado sensível que é a biometria. Também foram encontrados problemas acerca do armazenamento de dados. Diante da inespecificidade das políticas, eles não informavam os períodos de armazenamento.
(15:15) Havia várias políticas esparsas que se referiam de forma inespecífica quanto ao período de armazenamento, de forma genérica sobre certos períodos, mas não informavam exatamente quais eram os períodos relacionados aos tipos ou às categorias dos dados tratados. E eles chegaram, em um momento, a afirmar que não iam revelar os prazos de armazenamento por conta de segredo comercial e que a política de retenção dos dados seria sigilosa, o que é um verdadeiro absurdo.
(15:41) Confronta basicamente vários princípios e direitos, tanto de proteção de dados quanto os direitos do titular. É óbvio, você tem que saber qual é o prazo de tratamento dos seus próprios dados, inclusive numa situação como essa. A recomendação que veio foi de permitir que os titulares obtenham informações sobre o tempo de armazenamento e que eles apresentem à ANPD a política de retenção de dados e também uma tabela de temporalidade.
(16:09) Nós já recomendamos isso para clientes também: em situações mais complexas, mais delicadas, com muitas categorias e prazos diferentes, fazer uma tabela de temporalidade, seja para orientar as atividades internas, mas também para informar aos clientes, para que ele consiga ter uma visão geral sobre o tempo de armazenamento dos seus dados.
(16:25) Outro problema também muito comum, e isso não é somente da indústria farmacêutica, esses problemas aqui são comuns. De certa forma, essa atuação da ANPD é importante também para as empresas, porque conseguem enxergar as violações que eventualmente elas cometem. Apesar de eles fornecerem dados sobre as finalidades — ou seja, a ANPD pediu para que eles informassem quais eram as finalidades dos dados por eles tratados…
(16:56) …ela descobriu por outras fontes que houve omissões muito importantes por parte da Droga Raia e que dados de históricos de compras estavam sendo usados para finalidades fora daquelas informadas nas políticas, e eventualmente quando a hipótese era o tratamento fora do consentimento.
(17:21) Isso é muito grave. Quando a gente fala em gravidade em incidentes ou em violação da Lei Geral de Proteção de Dados, usar dados fora das finalidades informadas é algo muito grave. Descobriram desde situações em que informações e perfis de consumo estavam sendo vendidos para outras empresas.
(17:47) E muito interessante, eu acho que nós falamos isso aqui em algum episódio, o CEO da RD Ads, que é o braço da Droga Raia que faz essa parte de marketing digital, deu uma entrevista falando sobre alguns usos que eles faziam dos dados, e a ANPD trouxe a fala da entrevista. Basicamente, havia uma contradição na fala dele acerca das informações repassadas no próprio procedimento promovido pela ANPD.
(18:15) Ou seja, no procedimento, eles disseram uma coisa e, na entrevista, o CEO da RD Ads disse outra, afirmando que outros tratamentos eram feitos, diferentemente do que foi informado no procedimento administrativo pela própria farmácia.
(18:38) Outro problema: apesar de dizerem que usavam o consentimento para controlar o uso de dados para publicidade, não tinha ficado claro para os titulares que seria realizada a perfilização para publicidade. Ou seja, precisaria de um consentimento mais específico, não somente para o uso de dados. Porque essa é uma outra coisa: uma coisa é você usar os dados para publicidade simplesmente. Por exemplo, eu coleto o teu e-mail na minha pizzaria e você dá o consentimento para que eu te envie e-mail marketing sobre promoções de pizza.
(19:14) Simplesmente eu pego o teu e-mail e envio o mesmo e-mail para todo mundo que está na base. Isso é uma coisa. Outra coisa é eu fazer uma perfilização com base nos teus hábitos de consumo, vendo quais os dias que você mais pede pizza, quais os sabores que você mais gosta, quais as circunstâncias em que você pediria…
(19:50) …feriados, enfim, usar essa informação para criar um perfil e encaminhar comunicações em datas ou situações que você pudesse estar mais apto a comprar. Note que são duas situações completamente diferentes, e a segunda, a perfilização, é muito mais crítica и exige um consentimento específico.
(20:14) E notem, aqui no caso das farmácias, estamos falando de perfilização envolvendo dados sensíveis, o que é mais crítico ainda. O consentimento era classificado e transmitido, as informações em torno dele diziam que era simplesmente para uso de dados de mídia em geral.
(20:40) Só que o cliente, depois de dar o consentimento, também não conseguia revogá-lo. Ou seja, era um problema de modulação do consentimento e de falta de clareza. Basicamente, você estava consentindo para uma coisa, e os dados estavam sendo usados para outra. Além de as políticas não informarem sobre a utilização do histórico de compras para essa perfilização. Lembrando que isso acabava entrando numa rede de anúncios. Porque como esse data broker, que seria a RD Ads, funcionaria?
(21:19) Ele pegaria esses dados, criaria perfis e conectaria esses perfis com redes de anúncios e com ligação com outros data brokers. Nós temos um episódio aqui também, um dos episódios mais famosos do Segurança Legal, é o episódio dos data brokers, o episódio 52, lá de 2014, onze anos atrás.
(21:45) Então, eles se conectam com outras redes de data brokers. É isso que permite que o sujeito, identificado com um determinado perfil com base nas compras da farmácia dele — e note aquela integração do mundo offline com o online — compre algo na farmácia e, de repente, no celular dele começa a aparecer um tipo de publicidade, seja entregue pela rede do Google ou em um aplicativo aleatório que você tem. Isso estaria sendo conectado dessa forma. E aí, nesse caso, a recomendação foi dar informações sobre a criação de perfis comportamentais.
(22:22) Informando sobre o compartilhamento com a RD Ads, que está sendo feita publicidade personalizada com base em perfis, que há compartilhamento de dados com empresas terceiras. E, a partir daqui, em relação à RD, vai ser instaurado um processo sancionador para avaliar o tratamento dos dados sensíveis para essa perfilização fora do amparo legal.
(22:47) Então isso aqui é meio que preparatório. Em relação à Stix, não se encontrou nada, basicamente arquivou-se o processo, porque eles respeitaram a LGPD nas suas práticas. Em relação à Febrafar, eles comunicaram à ANPD, informaram algo assim, absurdo na minha visão: falaram que os dados são armazenados por tempo indeterminado, o que é plenamente contra a lei. Uma vez que termina a finalidade ou o tratamento e não há nenhuma outra norma que obrigue a empresa a armazenar aqueles dados, o dado deve ser excluído.
(23:25) Então, isso me chamou bastante atenção, o fato de eles informarem à ANPD que os dados eram armazenados por tempo indeterminado, embora nas políticas eles dessem algumas pistas de que seria por 5 anos depois do término da relação com a empresa.
(23:51) Aqui, o problema maior foi relacionado ao consentimento, que era dado para nove usos diferentes. O que a ANPD apontou é que não era possível consentir para cada um desses usos de forma separada. O consentimento, na medida do possível, tem que ser granular.
(24:13) Se a hipótese é o tratamento, eu tenho nove usos e possibilidades diferentes. O que a empresa deve fazer é atuar para permitir que você consiga, de forma granular, consentir com um e, eventualmente, não com outro. A não ser naquelas situações em que todos aqueles consentimentos são necessários para que você use um serviço.
(24:40) Mas notem, via de regra, o consentimento para publicidade não é necessário para você utilizar um determinado serviço. Então, esse “tudo ou nada” aqui é o que eles buscaram afastar. E lembrando, qual é o contexto desses usos de dados? Outra coisa que a gente sempre fala aqui: o contexto é de você utilizar, muitas vezes — e claro que nas farmácias os descontos acabam sendo dados não só para medicamentos, mas também para produtos de higiene, na maioria das vezes. Mas é um contexto que, quando a gente fala em medicamentos, você precisa daquele produto.
(25:16) Não é algo que você possa escolher. Eventualmente até consegue trocar de produto, mas o cerne dessa questão é que você precisa comprar aquele produto porque, se você não tomar, pode até morrer. É nesse contexto que a gente precisa olhar para o consentimento e entender, inclusive, se ele está sendo dado de forma livre. O consentimento tem uma série de adjetivações, e o fato de ele ser livre é uma dessas qualificações.
(25:53) “Manifestação livre, informada e inequívoca”, diz a LGPD. É nesse sentido. Quando a gente começa a colocar descontos dados também pelos laboratórios, há uma rede de descontos, na verdade.
(26:18) Ou vem pelo laboratório, ou vem pela própria farmácia, ou vem por outros programas. Eu, enquanto advogado, por exemplo, a OAB me oferece alguns descontos lá também. No caso da Febrafar, essas informações eram omissas. Não havia informações, e as que eram dadas eram, em alguns casos, inconsistentes. Note que todo esse cenário é avaliado numa perspectiva de digitalização dos dados coletados pelas lojas, só que também há uma falha e uma omissão de informações no atendimento presencial.
(26:59) Eles trouxeram até sites dessas ferramentas e dessas empresas, ou seja, você conseguiria realizar alguns controles pelo próprio site. Enfim, mas você, ouvinte, se colocando no lugar de um consumidor de uma farmácia, você se lembra de ter visto cartazes na farmácia falando sobre LGPD? Ou você se lembra de, em alguma das vezes que interagiu com o atendente, ele ter te dado informações sobre o tratamento de dados, te pedido algum tipo de consentimento, conversado contigo sobre esse tema? A gente sabe que, pelo menos eu, nunca recebi.
(27:36) Na verdade, quando a gente tenta não dar o CPF, no final das contas os atendentes — claro, não é culpa deles, definitivamente — acabam te olhando como se você fosse um extraterrestre.
(27:55) E a dinâmica, todo o contexto dessas interações, também deve ser olhado. Eles comentaram que nenhum ramo da economia dá descontos tão altos e que haveria, nesse caso, também um problema lateral, que seria a própria maquiagem dos preços. Ou seja, eles fazem uma maquiagem de preços para induzir o consumidor a dar os seus dados sem os esclarecimentos necessários, numa tentativa de fragilizar a própria liberdade do consentimento. É basicamente isso. Tem mais coisas aqui.
(28:33) E a gente vai deixar no show notes o link para que você possa ler não somente a notícia, mas também os documentos relacionados: notas técnicas, os despachos e decisórios aqui. Então, se você tem interesse e atua na área de proteção de dados, invista um tempo para dar uma estudada nesses documentos todos, porque é a jurisprudência agora da ANPD. Se atuamos nessa área, precisamos entender muito bem como essas coisas se dão.
(29:09) A atuação da agência vai nos ajudar a entender melhor a dinâmica de tratamento de dados e do funcionamento da própria ANPD aqui no Brasil. Bom, vocês devem conhecer, se acompanham o Segurança Legal, já devem ter ouvido falar de um cara chamado Troy Hunt. O Troy Hunt é um dos maiores e mais famosos consultores de segurança da informação do mundo.
(29:48) E ele, o Troy Hunt, é fundador do site “Have I Been Pwned?”, que a gente já falou várias vezes aqui também. Aquele serviço que permite que você saiba se as tuas credenciais vazaram na internet, ele te avisa e tudo mais. É um cara que tem uma reputação muito conhecida na área de segurança da informação, uma atuação muito respeitada. Investiu o tempo dele para criar o “Have I Been Pwned?”.
(30:13) É uma pessoa conhecida na área. Bom, o que aconteceu? O Troy Hunt, e aí ele fala sobre isso aqui no blog dele, ele caiu num phishing. E aqui ele dá todos os detalhes técnicos. Louvável, inclusive, em épocas em que as empresas e as pessoas tendem a buscar esconder incidentes. Ele vem, e ele sempre falou da necessidade de ser transparente na comunicação de incidentes.
(30:45) Ele caiu num phishing que, basicamente, a criticidade não foi tão grande. Permitou que os atacantes tivessem acesso aos nomes e e-mails das contas de e-mail dos assinantes do serviço de mailing dele, que era gerenciado pelo Mailchimp. Basicamente, os atacantes induziram o Troy Hunt a colocar suas credenciais num site falso de login do Mailchimp, e isso permitiu que eles tivessem acesso a dados de, mais ou menos, pouco menos de 16.000 pessoas.
(31:19) Eu até achei que eram mais pessoas que assinavam o mailing lá do Troy Hunt. Ele veio a público, claro, informou o incidente, pediu desculpas. Alguns detalhes são interessantes. Primeiro, ele criticou o Mailchimp por manter dados de usuários que cancelaram a inscrição.
(31:43) Ele diz que quase metade dos usuários que tinham cancelado a inscrição ainda tinham os dados guardados lá. E ele criticou o motivo de o Mailchimp fazer isso. A gente pode buscar algumas explicações, e me parece que há explicações para isso, até na própria perspectiva de tratamento de dados pessoais. Ter algum registro de que a pessoa pediu o cancelamento para que você, sei lá, não envie um e-mail depois.
(32:15) Poderíamos ir por esse caminho. Algum tipo de registro de que aquela interação houve, o registro de que ela pediu o cancelamento do mailing. Isso poderia ser uma explicação. Mas, ao mesmo tempo, pessoas que quiseram sair daquele mailing acabaram sendo afetadas. Sabe-se lá quem teve acesso a esses dados. E-mail, nome e também endereços IPs de eventuais acessos que foram feitos.
(32:41) Outra coisa: o phishing foi bem sofisticado. A mensagem era muito bem elaborada e conseguiu bypassar o próprio 2FA que ele utilizava. Isso demonstra que o 2FA não é infalível. O atacante fez um relay imediato do código. Ou seja, ele colocou a senha, colocou o código e, provavelmente por meio de um script, imediatamente foi feito o login no site original, o site real do Mailchimp. Outra coisa, e eu acho que isso é bem importante, ele disse que estava muito cansado quando tudo aconteceu.
(33:13) Fisicamente cansado. E isso foi crucial, me parece, porque ele estava desatento, acabou baixando a guarda. Ele comentou que o atacante não tinha como saber que ele estava cansado naquele momento, mas houve uma infeliz coincidência. Na criação desse phishing, ele comentou que a engenharia social envolvida foi boa. A mensagem dizia que ele não ia mais conseguir encaminhar o mailing dele, e aquilo criou um senso de receio, de medo, mas também um certo senso de urgência para que ele resolvesse aquela situação.
(34:05) A gente sabe que há alguns gatilhos psicológicos que podem permitir que as pessoas, às vezes de forma irrefletida, cliquem naquilo, acessem aquele conteúdo. Isso foi bem interessante. Uma outra questão que eu achei bem interessante: ele reconheceu também que isso deveria ter acendido um alerta para ele, e ele não se atentou. Ele usava, assim como grande parte das pessoas de segurança — na verdade, como todas as pessoas deveriam fazer — cofres de senha que fazem o preenchimento automático.
(34:40) Então, quem usa esses serviços, como o 1Password, você entra no site e, em geral, tem um botãozinho que você clica e ele preenche. Isso não aconteceu. Não houve esse preenchimento, não houve o aparecimento da informação de que tinha as credenciais, claro, porque era um outro site. Ele não se deu conta disso, seguiu adiante e caiu no phishing.
(35:09) A mensagem aqui é muito simples: um dos maiores consultores de segurança do mundo caiu num phishing. Claro, ele estava cansado, e isso é importante também, porque a gente не consegue estar 100% do tempo atento para as ameaças que estão chegando, e elas chegam numa frequência cada vez maior. O próprio cenário de golpes no Brasil, a gente sabe que é insano.
(35:45) Agora até diminuiu um pouco, mas aquelas ligações da falsa central telefônica são um negócio absurdo. Eu, que toda semana pesquiso jurisprudência para o mailing dos nossos clientes aqui, envolvendo proteção de dados, vejo rios de ações judiciais contra bancos envolvendo essas ações da falsa central telefônica, do falso motoboy, de falsos contatos por WhatsApp. Claro que isso tudo é alimentado por outros dados vazados, que acabam dando credibilidade a esses phishings. Mas no caso dele foi algo mais simples.
(36:22) Foi uma coincidência muito ruim. Se um dos maiores pesquisadores de segurança do mundo caiu no phishing, qualquer pessoa pode cair. Claro, também é um alerta para que a gente não baixe a nossa guarda, para que tenhamos uma conduta zelosa, mesmo quando cansados. É difícil dizer isso, mas ter uma conduta muito atenta. Outra hora a gente pode vir a falar sobre isso, sobre outras formas, outras dicas, outras recomendações. Tem pessoas que usam duas máquinas, dois telefones, para separar os sistemas e usos em dispositivos diferentes.
(37:00) Tem uma série de coisas que dá para se falar sobre isso, mas eu achei interessante trazer. E a humildade dele também de vir e falar. Porque mesmo que o impacto seja pequeno aqui, nome do mailing do Troy Hunt, poderia ter sido pior. E aí também faz com que a gente tenha atenção.
(37:28) Outra coisa: o Two-Factor Authentication não é infalível. A gente acha que é uma bala de prata, mas não é. Assim como o caso do Signal que a gente vai ver depois, se aproxima um pouco da crença que as pessoas têm na tecnologia. Bom, quem acessa o Instagram com frequência já deve ter visto um tipo de vídeo muito característico gerado por IA. O pessoal lá da 404 Media fez essa reportagem sobre o “Brain Rot” criado por IA no Instagram.
(38:13) É uma série de conteúdos… a gente já falou sobre esse termo “brain rot”, o apodrecimento do cérebro. Aqueles efeitos que certos conteúdos têm no cérebro humano, seja por nos acostumar a consumir conteúdos de baixíssima qualidade em feeds contínuos, o que causaria esse efeito, que foi palavra do ano e tudo mais.
(38:44) É uma tendência que a gente vem notando. E eu achei muito curiosa essa reportagem. Eventualmente, já chegou até mim alguns desses conteúdos, e eu sempre achei um negócio meio tolo, meio idiota, mas tem pessoas que usam. A gente sabe como não somente crianças, que eventualmente podem estar sendo afetadas por esse conteúdo.
(39:12) Mas também pessoas que começam a entrar num fluxo de acesso e consumo desse tipo de conteúdo de baixíssima qualidade, de baixíssima densidade intelectual. O que essa reportagem traz é que se notou uma tendência de vídeos gerados por IA que estão sendo publicados de maneira muito intensa.
(39:42) Vocês estão vendo aí no vídeo, ele traz alguns links aqui, mas eu não vou clicar porque têm algumas coisas bem absurdas. Sei lá, Peppa Pig num banheiro, uma prática meio escatológica para dizer o mínimo. Gerações de vídeos com pessoas reais, no sentido de simular, como o caso aqui que ele está mostrando, do LeBron James e de outros artistas.
(40:22) E também certos nichos que ele já vem notando, que seria a sexualização de personagens infantis e também posts racistas gerados por inteligência artificial. Então, não é um conteúdo engrandecedor, bem pelo contrário. No caso do racismo, é conteúdo criminoso. E a sexualização de personagens infantis pode, eventualmente, ser um caminho para atrair certos grupos de pessoas interessadas nesse tipo de conteúdo. Por que isso está acontecendo? Segundo a reportagem, a ideia é provocar um tipo de engajamento pelo absurdo da mensagem.
(40:59) Ou seja, aquilo é tão absurdo que, para algumas pessoas, elas podem acreditar que é real — isso é um baita de um problema também. Mas a forma de engajamento seria que, por ser tão absurdo, as pessoas começariam não somente a reclamar e a criticar, o que gera engajamento, como também a encaminhar para outras pessoas, tipo: “olha esse absurdo aqui”. Esses conteúdos já estão sendo monetizados, e as redes sociais, no caso aqui o Instagram, não têm feito muito para conter.
(41:33) Ou, pelo menos, para informar as pessoas de que aquele conteúdo é sintético, para lidar de alguma forma um pouco mais protetora com certos interesses, sobretudo para aquelas pessoas que entram no fluxo e acabam consumindo de uma maneira um tanto irrefletida esses conteúdos.
(41:53) Ele traz também a informação de que no Discord já há grupos ensinando como fazer esses “brain rots”. Ele destaca que as próprias ferramentas também não estão fazendo nada, bem pelo contrário, sobretudo quando esses vídeos envolvem pessoas reais, sejam elas famosas ou não. Mas isso é um grande problema também.
(42:17) E as redes, como o próprio Instagram, também não estariam cuidando disso. Ao contrário, estão impulsionando. E claro, a lógica a gente sabe: se gera mais cliques, gera mais publicidade, gera mais dinheiro. As pessoas que publicam acabam ganhando também, e isso vira um ciclo bem vicioso, de um tipo de conteúdo que não me parece que favoreça o melhor interesse das pessoas. Claro, você pode simplesmente não usar o Instagram, mas é uma tendência que a gente começa a notar de uma certa invasão de conteúdos sintéticos. Esse é o ponto.
(42:55) Nós já estamos consumindo conteúdos sintéticos em massa nas redes sociais. Se este tipo de conteúdo, “brain rot videos” aqui, especificamente no Instagram, pode estar fazendo mal para as pessoas — assim como a gente já viu o Instagram, como eles já sabiam que aquela dinâmica fazia mal para meninas e tudo mais. Inclusive, uma notícia que eu não trouxe, mas é necessário reconhecer: eles agora aprimoraram o papel das escolas. Quando a escola faz uma reclamação, eles priorizariam as reclamações e os pedidos de retirada feitos por escolas.
(43:33) Claro, porque as escolas, por estarem mais perto dos estudantes, conseguiriam identificar as situações. É um ponto interessante. Mas por trás disso, também temos outras coisas acontecendo, e de forma muito rápida.
(43:53) É muito difícil até para a gente entender os impactos e os efeitos disso. Aquela própria série sobre adolescentes, que chamou bastante atenção no mundo inteiro, do Netflix, aborda um pouco isso: o fato de os pais, dos professores não entenderem direito o que está acontecendo, não entenderem direito aquelas dinâmicas em que os adolescentes estão envolvidos.
(44:21) Tudo isso converge, me parece, para tratar também o tipo de conteúdo que a gente vai colocar lá dentro. E note: se isso é manipulação, e é, se eu estou efetivamente manipulando as pessoas por meio de uma enxurrada de conteúdos sintéticos que vão fazer com que elas engajem naquilo — e com a IA o potencial de manipulação é maior ainda. Porque se eu consigo personalizar de maneira praticamente infinita o conteúdo, potenciais de manipulação podem aparecer.
(44:57) E isso não me parece que seja muito bom, na linha do que colocou aqui também o Jason Koebler. Bom, e por fim, pessoal, vocês ficaram até aqui, já viram no nome do episódio que a gente vai falar sobre o SignalGate, aquele caso lá que aconteceu nos Estados Unidos.
(45:26) O Vinícius, essa semana a gente estava conversando, ele disse: “Não, vou ter que viajar”. E eu estava preparando a pauta, já estava mais ou menos com ela preparada, e pensei: “Bah, mas não vamos deixar de gravar essa semana”. Eu tinha um tempinho aqui na sexta-feira, então pedi para ele. Perguntei se ele estava acompanhando mais o caso SignalGate. Ele disse: “Não, tô, tô por dentro”. Pedi para ele gravar um conteúdo.
(45:46) Ele gravou o conteúdo que você vai ouvir agora e, depois, eu vou fazer alguns comentários sobre o comentário do Vinícius sobre o SignalGate. Vamos lá.
(46:02) [Vinícius] Olá, Guilherme. Olá, ouvinte do Segurança Legal.
(46:12) Hoje eu estou gravando aqui para poder participar do episódio, já que eu vou estar viajando nesta sexta-feira. Eu vou comentar, conforme a gente combinou, Guilherme, para os nossos ouvintes, o caso do Signal. Eu montei até uma timeline aqui para a gente poder entender o que aconteceu. Eu acho que todo mundo ouviu falar, pelo menos, da questão do Signal com relação ao governo Trump.
(46:36) Mas, para situar tudo, para início de conversa, o Signal é um mensageiro instantâneo que nem o WhatsApp. Ele implementa um protocolo de segurança, de criptografia ponta a ponta e tudo mais, mas é um aplicativo para uso comercial. Você pode baixar de graça no seu celular e sair utilizando. Eu, particularmente, uso também o WhatsApp, claro, mas eu tenho uma certa preferência pelo Signal.
(47:07) Bom, mas o que aconteceu? No dia 11 de março, o jornalista Jeffrey Goldberg, da The Atlantic, ele é editor-chefe da The Atlantic, recebe uma solicitação no celular do Michael Waltz, que é o Conselheiro de Segurança Nacional dos Estados Unidos. Uma solicitação de contato, ele aceita. E no dia 13, dois dias depois, o Goldberg, o jornalista, é adicionado a um grupo com o nome “Houthi Small Group”, um grupo no Signal.
(47:53) E aí que começa a história toda com o Signal. Esse grupo tinha vários membros do governo Trump, de altíssimo nível. E eles estavam compartilhando nesse grupo detalhes sobre ataques aos Houthis, que estavam ameaçando a passagem no Canal de Suez. Bom, isso foi no dia 13, a inclusão no grupo.
(48:30) O próprio Goldberg disse que ele achou que isso fosse algum tipo de brincadeira ou armação. Ele ficou quieto, ficou acompanhando, até que ele percebeu que, numa das mensagens, foi colocado o horário em que haveria o ataque aos Houthis. Então, o Goldberg estava no estacionamento de um supermercado, sentado, esperando para ver se encontrava alguma notícia no Twitter no horário previsto e, para surpresa dele, o ataque de fato aconteceu.
(49:08) A gente está falando aí de 13 dias depois do primeiro contato que fizeram com Goldberg. O ataque de fato aconteceu. No dia 24 de março, o Goldberg resolve publicar uma matéria expondo o vazamento e confirmando que ele foi incluído no grupo. Notem que, até então, ninguém tinha percebido que tinha um jornalista no grupo em que eles estavam discutindo detalhes de uma ação militar contra os Houthis.
(49:49) Com relação aos detalhes, vocês vão ouvir o pessoal falando que não foi nada demais, não tinha muita informação. Tinha sim. Tinha detalhe dos armamentos utilizados, a hora que os aviões sairiam para o ataque, a hora esperada do ataque, os alvos, onde estavam possíveis terroristas e tudo mais.
(50:12) E toda essa informação foi sendo colocada lá no Signal. A primeira reação do Trump e dos membros do gabinete dele foi de dizer que não foi nada importante, que não tinha nenhuma informação importante. Aí o Goldberg vai lá e expõe, mostra as informações, mostra que a coisa realmente era importante.
(50:42) Aí eles começam a aceitar a ideia de que aconteceu alguma coisa errada. O próprio Trump muda um pouco o discurso dele. No início, ele disse que não sabia de nada, depois disse que não foi nada, e depois começou a dizer que foi o único erro até então do governo dele, segundo ele. E aí a gente tem, na sequência, claro que isso virou um grande escândalo, porque não só pelo fato de eles terem, sem querer — ou sabe-se lá se por querer, mas pelo visto sem querer —, inserido um jornalista dentro de um grupo que estava discutindo detalhes de uma operação militar.
(51:18) Algo que é extremamente sensível, informação que exige um nível de clearance, como se chama, para poder acessar, bastante alto, e eles estavam com um jornalista lá no grupo e não se deram conta.
(51:40) Não só esse foi um problema, mas também, talvez o maior problema além do jornalista estar ali, é o fato de eles estarem usando uma aplicação comercial, sabidamente alvo de ataque por russos e outros Estados que têm interesse em conseguir violar a comunicação do Signal. Eles usaram essa aplicação para fazer a comunicação de informações altamente sensíveis sobre uma operação militar.
(52:14) Agora, já faz alguns dias, o Congresso, alguns participantes — não dá para dizer o Congresso todo, porque a gente sabe muito bem como está organizado lá —, alguns congressistas americanos começaram a cobrar fortemente o que eles estão chamando de uma das maiores falhas de inteligência na história dos Estados Unidos. É uma coisa que o pessoal está levando realmente muito a sério, está dando muito pano para manga. O que chama a atenção, pensando no nosso cenário, nas empresas e tudo mais…
(52:51) …é que esse tipo de falha, esse tipo de erro que eles cometeram, essencialmente foi sair do procedimento padrão, violar as políticas de uso de aplicações ou de meios de comunicação para utilizar algo que eles decidiram utilizar no telefone deles.
(53:17) E a partir daí, por mais que o Signal seja seguro em termos de criptografia ponta a ponta, ele não tem recursos para, por exemplo, isolar quem pode participar desses grupos. Então, se alguém inserir por engano um jornalista, o jornalista vai entrar. É um desvio claro das políticas de segurança do governo dos Estados Unidos para se trocar esse tipo de informação.
(53:54) Então, a lição que fica, primeiro, é que a gente tem que acompanhar a continuação dessa discussão lá. Mas a lição que fica é que, uma vez que existe um procedimento, uma política, e é importante definir políticas de segurança nas empresas, é importante que essas políticas sejam seguidas. Porque, daqui a pouco, alguém resolve exportar um arquivo contendo informações da tua empresa de uma forma diferente do que havia sido previsto, resolve usar o próprio e-mail pessoal para mandar esse arquivo para ele mesmo para usar numa apresentação ou coisa parecida. Pronto. Já saiu do caminho.
(54:32) Já saiu do que havia sido definido das políticas e tudo mais. E aí a gente pode ter, de repente, um incidente desses dentro da nossa própria empresa. Tá bom? Por enquanto é isso, gente. Eu lamento não estar esta sexta-feira aí com vocês. Eu vou estar, como eu disse, viajando. Na sexta-feira que vem, eu devo estar de volta. Valeu, Guilherme. Valeu, galera.
(54:59) Um abraço. Até a próxima.
(55:00) [Guilherme] Bem, pessoal, interessante. Claro, a nossa especialidade aqui, o foco desse tema no Segurança Legal, não é fazer uma análise de política internacional. Para isso, certamente o pessoal do Xadrez Verbal vai falar, eu tenho certeza que eles vão falar sobre isso. Então, a gente remete os interessados na parte de política internacional para o Xadrez Verbal. Mas a gente consegue fazer, claro, observações do ponto de vista da segurança da informação.
(55:38) E, ao mesmo tempo, como cada vez mais, grandes temas do mundo têm no centro a segurança da informação. A segurança acaba ficando cada vez mais importante. Os grandes conflitos acabam envolvendo segurança, os grandes problemas da humanidade também, claro que não todos, mas acabam envolvendo segurança.
(56:03) Isso é muito interessante de se ver, para o bem e para o mal. Eu lembro também de um artigo que o Vinícius escreveu com o Raul Weber, que foi orientador dele no mestrado. Não estou certo se o título não é “Técnicas de segurança da informação: da teoria e prática”, em que eles falavam sobre aquela tríade da segurança, que é política, mecanismo e cultura.
(56:43) Você tem uma política, essa política é implementada muitas vezes por alguns mecanismos de segurança, e você também tem uma cultura, que seria a forma como as pessoas se comportam, a autorresponsabilidade das pessoas no sentido de também atuar de forma segura. É um tripé, e cada vez que você tira um desses pés, ele cai. A segurança seria feita desses três domínios: política, mecanismo e cultura.
(57:12) No caso do SignalGate, como têm chamado, o uso do Signal, o uso da criptografia de um aplicativo de criptografia fim a fim, é um mecanismo somente, que não deveria estar sendo utilizado nesse contexto, é verdade, mas ele é somente um mecanismo. E segurança не se faz somente com mecanismo.
(57:30) Essa é uma das grandes verdades da segurança. Na verdade, a segurança não se faz somente com um desses elementos que eu coloquei. Não se faz somente com política sem mecanismo, não se faz somente com cultura sem política e mecanismo. Preciso de uma integração dessas três coisas. Há também, e quando eu estava ouvindo esse áudio do Vinícius, me ocorreu uma das grandes ironias desse caso todo: o fato de que a criptografia, os seus primórdios, os seus rudimentos, nasceram numa perspectiva de proteção de segredos de guerra lá entre os gregos, as cidades-estado gregas.
(58:01) E como esses rudimentos, que depois no Egito aparecem… estava até dando uma folheada hoje no “The History of Information Security”, que tem um capítulo que vai da antiguidade até a Renascença, que seria, segundo o autor, uma redescoberta desses mecanismos clássicos. O Gerhard Strasser, em “The Rise of Cryptology and the European Renaissance”, faz um apanhado histórico sobre a criptografia.
(58:40) E a própria limitação aqui. Interessante pensar nisso. Claro que a gente sempre tem que ver, quando fala em segurança da informação, sobretudo para agentes de Estado, muito mais do que para empresas, você tem que saber quem é o teu adversário. Isso é crucial para você pensar em segurança da informação.
(59:12) Os conselheiros de um presidente certamente vão encontrar os adversários mais poderosos do mundo, sobretudo o presidente dos Estados Unidos. Então, quem é o seu adversário, além de você mesmo, além das próprias limitações que eles demonstraram ali? É preciso saber quem é o teu adversário nesse modelo adversarial. E, claro, a criptografia aplicada no Signal, tem outra questão: ela também protege as informações em trânsito, não protege as comunicações que, eventualmente, estão armazenadas no celular dessas pessoas, que pode ser perdido, furtado, ou pode ter um malware lá dentro que tira um print da tela.
(59:44) São tantas as possibilidades que fariam com que, de fato, esse caso seja um fiasco. Eu estava lendo algumas notícias sobre o caso, que vão ficar lá no show notes, e os americanos usam essa palavra “fiasco” também, mas acho que com uma conotação muito mais impactante do que a que nós usamos aqui. Eles reservam “fiasco” para situações bastante sérias, e me parece que esta é uma situação efetivamente séria para que se use “fiasco”. Vai ficar também, pessoal, ali no show notes, uma reportagem da “The Daily Beast” que fala sobre como descobriram que, de alguns dos conselheiros do presidente, se consegue encontrar na internet uma série de credenciais deles, telefones pessoais.
(1:00:23) E a própria Tulsi Gabbard, que era a Diretora de Inteligência Nacional, que estava envolvida junto com John Ratcliffe, Diretor da CIA… vejam, gente, Diretor da CIA, Diretor de Inteligência Nacional, trocando esse tipo de conteúdo num Signal, provavelmente em telefones pessoais. Não sei se essa questão foi abordada, mas se foi, pior ainda.
(1:00:53) Credenciais dessas pessoas seria possível de conseguir: os números delas, a foto de Instagram, a foto de WhatsApp e tal. Então, “The Daily Beast” traz isso e, claro, as consequências são claras e se conectam com o caso do phishing lá do Troy Hunt, de que se pode utilizar esses dados em uma série de outros contextos.
(1:01:19) Fica aí como última notícia. Fechando uma hora já, consegui segurar a peteca e não deixar a peteca cair. Uma das decisões aqui que a gente teve é: nós temos que falar sobre o SignalGate. Eu acho que esse caso, como o Vinícius colocou, vai ter outros desdobramentos. A gente vai ficar atento, evidentemente, como sempre faz. Teve já audiência no Senado. O Vinícius adora ouvir aquelas audiências do Senado americano. Hoje, com IA, fica um pouco mais fácil, você consegue fazer alguns resumos de vídeos e tal, eventualmente não precisa assistir 3, 4 horas de audiência.
(1:01:53) Nós vamos voltar a falar sobre isso e é o que eu espero. Estou ansioso para ver os desdobramentos desse caso aí nos Estados Unidos. Então, pessoal, agradecemos a todos e todas que nos acompanharam até aqui e nos encontraremos, agora de volta com o Vinícius, no próximo episódio do podcast Segurança Legal. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
173 Listeners
Giro do Loop
91 Listeners
Tecnocast
42 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
45 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners