Sign up to save your podcasts
Or
Share #390 – Meta e FTC, IA e LGPD, fim do Mitre, vazamentos no GitHub
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#390 – Meta e FTC, IA e LGPD, fim do Mitre, vazamentos no GitHub
Neste episódio comentamos sobre a briga da Meta com a FTC que pode dividir a empresa, o estudo que revela o descumprimento da LGPD pelas IAs e o risco de fim do banco de dados de vulnerabilidades CVE.
Você irá descobrir os detalhes da ação antitruste da FTC contra a Meta e como a regulação de big techs impacta o mercado global. Aprofundamos a análise sobre a aderência de plataformas de inteligência artificial à LGPD, destacando falhas críticas em proteção de dados e privacidade. Analisamos também a crise de financiamento do Mitre que ameaça o futuro do CVE, um pilar para a gestão de vulnerabilidades em cibersegurança. Além disso, abordamos o vazamento de milhões de credenciais no GitHub e a nova norma sobre riscos psicossociais, que afeta diretamente os profissionais de segurança da informação.
Assine, siga e avalie nosso podcast para não perder nenhuma análise sobre o mundo da segurança digital.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 390, gravado em 17 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último período. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham pelo YouTube. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.
(00:29) Então, pegue o seu café e vem conosco. Para entrar em contato com a gente, basta enviar uma mensagem para podcast@segurançalegal.com ou também via redes sociais: Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal pelo apoia.se/segurançalegal.
(00:48) Você escolhe uma das modalidades de apoio e, entre os benefícios recebidos, terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Lembrando que sempre pedimos para que você considere apoiar um projeto livre e independente de produção de conteúdo. O blog da Brownpipe, brownpipe.com.br,
(01:05) é a empresa que também é uma das mantenedoras do Segurança Legal, junto com os apoiadores. Lá você consegue se inscrever na mailing semanal para receber as notícias publicadas no blog. Vinícius, indo direto ao ponto, o que está acontecendo com a Meta nos Estados Unidos? É um golpe na Meta ou um golpe que pode quebrar a Meta ao meio?
(01:36) Não, mas está bom. É que tem um manual do negócio que está aqui. Está ótimo. Mas vai mudar o sol, tudo bem. Vai ficar assim. Não sei se está te atrapalhando, mas incomoda um pouco, ele está bem claro no fundo. O que aconteceu foi o seguinte: recentemente, o que tem chamado a atenção são duas notícias.
(02:04) Uma delas está relacionada ao fato de que o Zuckerberg teria concordado em compartilhar dados de usuários norte-americanos com a China para entrar no mercado chinês. Inclusive, que o Facebook cooperou ativamente para acelerar o desenvolvimento de IA na China. Isso pré-era Trump.
(02:30) E agora, vai para julgamento no Federal Trade Commission (FTC), lá nos Estados Unidos, a questão de obrigar a Meta a se dividir em mais empresas. Isso tem a ver com Trump e não tem a ver com Trump.
(03:00) Então, a primeira notícia é essa questão do Zuckerberg oferecendo acesso a dados de cidadãos americanos para a China para poder entrar no mercado chinês, inclusive com um sistema de “death” em posts que passam de um certo número de views. Então, parabéns para o Zuk, que agora, desde o início, quando o Trump tomou aquele tiro que pegou de raspão na orelha, foi o momento em que o Zuckerberg primeiro se manifestou de maneira positiva em relação a um candidato e se engajou. Ele não tinha feito isso antes, nem com Trump, nem com
(03:40) Biden, mas naquele momento ele passa a dizer que o Trump era um “badass”, um herói. A partir dali, ele passa a admirar o Trump, isso logo antes das eleições. Desculpa pela minha reação, estava tentando me conter. Então, essa questão da China é nova.
(04:05) Isso está sendo denunciado agora por uma pessoa de dentro do Facebook. E tem a questão do livro, não é isso? Tu queres comentar ou citar o livro, Guilherme? Eu não lembro de cabeça.
(04:21) Então, teve essa denúncia e essa questão do Federal Trade Commission em relação à Meta ter que se dividir. Ela começa com o Trump. Lá no primeiro governo, o Trump não ficou muito feliz com a Meta e o Facebook implementando iniciativas de fact-checking e tirando conteúdo do ar.
(04:55) No final do governo Trump, quando ele perde as eleições e faz aquela chamada para ir ao Capitólio para impedir a validação das eleições, o Facebook entende que aquilo é uma incitação à violência e tira tudo do ar.
(05:22) O Trump não ficou, digamos, muito feliz com isso no final do mandato dele. Então, no finalzinho do mandato, o Trump coloca o FTC para investigar a Meta. Termina o mandato do Trump, e o Zuk entra em lua de mel com o governo Biden, pelo menos no início.
(05:52) No começo, as Big Techs gostaram do governo Biden. Só que o governo Biden começa a demandar a regulação das redes e das tecnologias, e as Big Techs não ficaram nem um pouco felizes com isso. Por fim, o Biden nomeia para o FTC uma pessoa que todas as Big Techs odiavam, e aí a galera se descola do Biden.
(06:27) Mas, ainda assim, o processo do FTC não anda até o final do governo Biden. O FTC reativou essa investigação contra a Meta, e o governo Trump herdou isso reativado. Então, o FTC está ativamente processando a Meta nesse sentido.
(06:56) E apesar de o Zuk ter dito que ama o Trump, o Trump não está correspondendo ao amor dele, está meio que o escanteando. A Meta está tentando, direto na Casa Branca, fazer com que esse processo deixe de existir. E como, nesse momento nos Estados Unidos, não é preciso seguir processo nenhum, é só convencer o Trump a tirar o processo, ele tira e acabou.
(07:23) É o caminho que eles estão tentando, mas o Trump não está dando muita bola. Então, por enquanto, esse processo está andando e, ao que parece, vai adiante. Há um risco bastante grande de a Meta ter que se dividir em mais de uma empresa. A coisa começa com a compra do Instagram. Lá na época, o FTC entendeu que o Instagram era um produto diferente do que o Facebook já oferecia, e hoje eles entendem que compraram um concorrente.
(07:58) Seria um caso de antitruste, que implica uma avaliação se a Meta teria um monopólio com a compra do Instagram e do WhatsApp, junto com o Facebook. Seria para ver se eles teriam o monopólio das redes sociais nos Estados Unidos. Isso acontece ao mesmo tempo em que há aquelas movimentações para o Trump querendo afetar a operação do TikTok, trazer o TikTok para os Estados Unidos, com o X querendo, supostamente, dar uma proposta para comprar o TikTok. Sobretudo Facebook e Instagram. E aqui no
(08:41) Brasil é muito importante isso. Quando a gente fala sobre redes sociais, Facebook e Instagram, o Facebook ainda tem muita gente utilizando. Era isso, Vinícius? Sim, já tinha concluído. Toca a ficha.
(09:11) Aqui no Brasil, falando também um pouco sobre Big Techs e sobre o papel de grandes empresas nesse mercado, passando mais para o mercado da inteligência artificial, esse tema do qual a gente não consegue deixar de falar, saiu um estudo, um “discussion paper” publicado pela FGV Direito Rio, que avaliou o grau de aderência das principais plataformas de inteligência artificial disponíveis no mercado às práticas de proteção de dados, especificamente à LGPD. Ou seja, buscou verificar se os grandes players de IA que estão oferecendo serviços no Brasil estão cumprindo a LGPD. Um parêntese aqui, Vinícius, que
(09:49) deve ser aberto, e é uma coisa que, na nossa imprensa, ao contrário da americana, por exemplo, acontece com bastante frequência: esse estudo foi amplamente divulgado pela imprensa (Globo, O Globo, Folha de S. Paulo, etc.).
(10:12) E, mais uma vez, eles não trazem o link do estudo. Ou seja, você tem que ativamente buscar, pesquisar, perder seu tempo, o que a maioria das pessoas não vai fazer. Se fosse na faculdade, você tomaria um puxão de orelha: “vai botar as fontes aí”. Claro, as pessoas podem querer ler aquele estudo.
(10:32) Além disso, eles avaliaram se as empresas estavam cumprindo a LGPD. O primeiro ponto que avaliaram, além da questão de proteção de dados, foi o uso dessas ferramentas estrangeiras e como isso afeta nossa soberania digital, algo que já falamos várias vezes no Segurança Legal. Ou seja, o Brasil está dependente dessas ferramentas, sem ter uma alternativa viável no momento para
(11:07) migrar para serviços brasileiros ou que não sejam americanos, considerando todos os problemas que estão vivendo com Trump agora. Eles destacaram isso. Começam separando, o que é interessante, o que são os termos de uso e o que é a política de privacidade. Algumas empresas, às vezes, colocam tudo no mesmo documento, mas são coisas diferentes. Os termos de uso estão relacionados às
(11:39) características daquele serviço em específico: como você usa, o que faz e o que não faz. Até questões relacionadas à propriedade intelectual podem estar lá, e em geral estão. Ou seja, o que a ferramenta diz ou transfere sobre os resultados acerca de propriedade intelectual.
(12:03) E as políticas de privacidade vão regular o tratamento de dados. O que eles analisaram nesses serviços? Se há clareza e facilidade no acesso a informações, o mínimo que um agente de tratamento deveria cumprir; se há menção às transferências internacionais e para quais países, observando as regulações da ANPD; se a apresentação dos direitos dos titulares está adequada; e a demonstração das medidas técnicas e administrativas para garantir a segurança. De forma muito
(12:43) interessante, eles se basearam, como referência mínima, no guia de segurança da informação para agentes de tratamento de pequeno porte. E isso é bem interessante, porque, às vezes, quando olhamos para as práticas de empresas que não são de pequeno porte, é comum que elas sequer cumpram o mínimo colocado pela ANPD sobre segurança da informação.
(13:21) Analisaram também as práticas de “data scraping” ou raspagem de dados. Os resultados foram publicados em uma planilha. Lá no estudo, que vamos deixar no “show notes”, estão os resultados.
(13:46) Ali você tem as avaliações de Copilot, Cloud, Meta, Grok e DeepSeek. É uma planilha com oito questionamentos, e eles avaliam se a instituição cumpre ou não, em uma pontuação de 0 a 14. Gemini, Cloud e Meta AI cumprem 11. Nenhuma cumpre todos.
(14:14) Gemini, Cloud e Meta AI cumprem 11; ChatGPT, 9; Copilot, 8; Grok, 6; e DeepSeek, 5. O DeepSeek estaria no fim da lista no que diz respeito às práticas, preocupação que já foi colocada pela própria União Europeia. Basicamente, apenas três dos 14 critérios foram atendidos por todas as empresas, o que
(14:51) leva a um resultado de descumprimento de medidas muito básicas. Eles foram bem conservadores, pegaram coisas básicas, nada demais. É algo que todos deveriam estar cumprindo.
(15:17) Não deveria haver espaço, nesse âmbito e com os riscos que tudo isso representa, para que não fossem cumpridas essas medidas. Pelo que estou vendo, quem mais cumpre é o Gemini, que não cumpre três requisitos. O Cloud também não cumpre três, e a Meta AI não cumpre três.
(15:44) São 14 itens de conformidade. Existem muito mais, mas eles só avaliaram 14. O resultado foi: Gemini 11, Cloud 11, Meta 11, ChatGPT 9, Copilot 8, Grok 6, DeepSeek 5.
(16:15) Eu não esperava muito do DeepSeek. Lembrando que a Meta teve toda aquela questão com a ANPD, do processo, da reversão das práticas de treinar com dados pessoais. Na verdade, são muito mais coisas que deveriam estar sendo cobertas e não estão.
(16:36) É um estudo pequeno, dá para dizer, mas é importante para a tomada de decisões. Porque isso não é só proteção de dados, é também sobre as pessoas que usam essas ferramentas para atividades que eventualmente envolvem segredos comerciais.
(16:54) Essas práticas de proteção de dados, algumas delas sobre segurança, vão se estender também a outros dados críticos que são colocados ali. Vinícius, o que está acontecendo com o Mitre lá nos Estados Unidos?
(17:13) O Mitre, para quem trabalha com segurança da informação, com certeza já ouviu falar, ou pelo menos do CVE. O Mitre é uma organização sem fins lucrativos norte-americana e, entre os vários projetos que mantém, tem o CVE, que é uma base comum de vulnerabilidades.
(17:30) Não é uma base de vulnerabilidades comuns, mas uma base comum de vulnerabilidades. Isso foi criado em 1999, porque até então tínhamos um problema sério que foi sendo resolvido. Qual era o problema? Se eu encontro uma vulnerabilidade em um Windows, Linux ou qualquer aplicação, e preciso comunicar essa vulnerabilidade, como sabemos que estamos falando da mesma coisa?
(18:08) Como fazemos referência a essa vulnerabilidade? Então, o Mitre veio com a iniciativa do CVE, essa base comum à qual todo mundo pode fazer referência. Quando aparece uma vulnerabilidade em um Oracle da vida,
(18:34) é criada uma CVE para essa vulnerabilidade, com toda a descrição, impactos, etc. Acaba sendo uma biblioteca de vulnerabilidades extremamente importante, que virou a referência de fato para o mundo inteiro.
(18:58) É uma taxonomia das vulnerabilidades. Ele faz uma listagem, descreve e avalia cada uma delas. O que acontece é que esse projeto, assim como o próprio Mitre, recebe recursos do governo federal norte-americano.
(19:23) É daí que vem o dinheiro que mantém o Mitre e seus projetos, como o CVE. Aconteceu que a Agência de Segurança Cibernética e de Infraestrutura (CISA), assim como tantas outras, sofreu cortes impostos pelo tal Departamento de Eficiência Governamental (DODGE), que o Elon Musk, sem ser nomeado oficialmente, é quem toca.
(20:02) O fundo foi cortado; na verdade, a renovação não tinha sido garantida. O projeto iria até o dia 11 de abril, e depois não teria mais fundo. Como não teve a renovação, o Mitre avisou que não haveria mais atualização no CVE, que acabaria.
(20:43) Na última hora, a CISA voltou atrás e renovou o contrato por mais 11 meses. Então, estamos falando de mais 11 meses de fundos para o Mitre manter a iniciativa. O pessoal já se deu conta de que não dá para confiar só em verba do governo norte-americano e já começou a se mexer para captar recursos de outras fontes para garantir que o CVE continue existindo. Eu diria, Guilherme, sem exagerar, que ele é crítico para o gerenciamento de vulnerabilidades no mundo inteiro.
(21:22) É a linguagem comum que todo mundo fala. Diversas ferramentas, abertas ou pagas, utilizam e têm como premissa a vinculação com o CVE. Qualquer ferramenta de varredura de vulnerabilidades tem o CVE como sua base de dados de referência.
(21:59) É uma linguagem comum no sentido de que, quando você vai reportar uma vulnerabilidade para um cliente, uma empresa ou um governo, todo mundo fala a mesma língua. Ameaçar isso pode ter consequências desastrosas.
(22:30) Por fim, o financiamento está garantido por 11 meses, mas existe uma previsão de corte de 13 funcionários da CISA. Sabe-se lá o que vai acontecer depois. Torcemos para que o Mitre consiga encontrar outras fontes de financiamento.
(22:56) Eu acho que não vai ser difícil, porque muita empresa grande usa o CVE como referência. Mas é algo com que eles não podem mais contar do governo norte-americano. Eles chegaram a anunciar o fim da atualização, o que era bastante grave.
(23:16) A gente sabe desses improvisos do governo americano. Não sei bem se é uma improvisação, mas acredito que eles podem não ter a visão completa das consequências de mexer não só nessa, mas em várias outras áreas em que o DODGE retira recursos. Saiu uma notícia há bastante tempo,
(23:48) eu vi o pessoal fazendo piada disso no Saturday Night Live, achei que fosse brincadeira, mas é verdade: um dos membros do DODGE que assessora o Elon Musk é um cara chamado Edward Corstein, um jovem de 19 anos cujo apelido era “Big Balls”. Ele foi revelado como tendo prestado suporte técnico a um grupo de cibercriminosos chamado Egodley antes de assumir funções em órgãos oficiais de segurança cibernética dos Estados Unidos.
(24:21) Ele teria uma relação bem estranha com esses órgãos, o que foi revelado por mensagens do Telegram. Não sei se esse corte está diretamente ligado a esse cara, mas é para saber o tipo de pessoa que está lidando com o financiamento de algo tão importante para o mercado de segurança.
(24:52) Isso é bastante relevante e pode impactar completamente os serviços de segurança. Sem contar que esse cara que você citou, junto com toda a equipe que ele comanda, está tendo acesso a informações extremamente sensíveis de toda a população norte-americana.
(25:11) Você lembra quando comentamos do escambo de dados do TSE, que eles iam oferecer uma integração com o Serasa e trocar por certificados digitais? Lembro, claro. E nos chamou muita atenção, era um mau uso dos dados, não é para isso que o TSE os coleta.
(25:34) E o que o Trump está fazendo, em 2013, mais de 300 episódios atrás. Agora, o governo Trump está usando essa equipe que você citou. Os caras estão acessando informações que existem nos diversos departamentos do governo federal para fins diferentes daqueles para os quais foram originalmente coletadas.
(26:08) Desde localizar gente para deportar até dissidentes, o negócio virou uma loucura. O cara está perseguindo dissidentes políticos, no final das contas. Pegando dados da Receita Federal, dados bancários, dados médicos, qualquer coisa que encontrar.
(26:31) E o risco que se coloca é que esses caras vão começar a alimentar ou treinar inteligências artificiais com esses dados. Havia o caso dos dados de saúde, que eram em COBOL, e eles iriam refazer todo o código. Isso já teria começado a dar alguns efeitos na disponibilidade de sistemas, quebrando algumas proteções muito básicas de um estado de bem-estar social já estabelecido. É algo realmente bem
(27:04) crítico. Vinícius, tem um assunto aqui que é meio lateral, mas acredito que tem um ponto bem importante para o mercado de segurança e para os funcionários das áreas de segurança e proteção de dados.
(27:35) Houve recentemente uma atualização na norma de proteção dos trabalhadores, a NR-01, que regula e avalia os riscos ocupacionais nas empresas. Basicamente, toda empresa precisa colocar medidas para garantir que seus funcionários não tenham riscos ocupacionais variados.
(28:11) Riscos de ergonomia, por exemplo, sobre equipamentos, cadeiras e tudo mais, tudo isso entra em uma figura maior de riscos ocupacionais. A partir de maio, com a atualização da NR-01, todas as empresas com funcionários terão que começar a identificar, avaliar e gerir os chamados riscos psicossociais. Então, além de verificar se o cara vai ficar com as costas doendo por causa da
(28:44) cadeira, as empresas terão que verificar esses riscos psicossociais. Isso vem de diretrizes da Organização Internacional do Trabalho e da Organização Mundial da Saúde, agências que estão francamente ameaçadas e afetadas pelo que acontece nos Estados Unidos.
(29:11) Também há um movimento de descredibilização, dizendo que segurança no trabalho não é importante, mas a gente sabe que é. Basicamente, esses órgãos disseram que 12 bilhões de dias de trabalho são perdidos anualmente devido à depressão e ansiedade, o que representa um custo de quase 1 trilhão de dólares para a economia global.
(29:38) Basicamente, eles devem ter pego os dados dos países sobre o número de funcionários e visto quantos dias as pessoas ficaram afastadas por conta desses riscos. A gente sabe que o trabalho é uma dimensão super importante da vida das pessoas.
(30:03) Nós, inclusive, passamos mais tempo trabalhando do que com nossa família ou nos divertindo. O que acontece no trabalho, embora as pessoas não deem muita bola, é crucial para a saúde mental. No Brasil, para ter uma ideia, os afastamentos por transtornos mentais decorrentes de adoecimentos ocupacionais estão em segundo lugar. Esses números têm crescido.
(30:35) A partir de maio, as empresas, ao avaliarem os fatores de risco ocupacionais, terão que investigar perigos decorrentes de problemas na concepção, organização e gestão do trabalho que podem afetar a saúde mental do trabalhador.
(30:58) Isso poderia levar ao agravamento de estresse, esgotamento, depressão, entre outras afetações. Alguns exemplos de perigos e fatores de risco, Vinícius: assédios de qualquer natureza, má gestão de mudanças, baixa clareza de papel, baixas recompensas, falta de suporte, baixo controle e autonomia no trabalho, baixa justiça organizacional, eventos violentos ou traumáticos, baixa demanda de trabalho (há
(31:33) funcionários que são punidos com a falta de funções para que fiquem sem fazer nada, o que é bem conhecido na justiça do trabalho). Por outro lado, excesso de demandas, maus relacionamentos, trabalho em condições de difícil comunicação e trabalho remoto isolado.
(31:58) Você deve estar se perguntando por que isso está aqui. Eu vou te dizer. Na minha experiência, e acho que você vai concordar, muitos problemas relacionados ao trabalho de profissionais de segurança da informação e de proteção de dados estão ligados a alguns desses fatores de risco psicossociais.
(32:33) Ou seja, temos pessoas trabalhando nessas áreas altamente estressadas, com impacto psicológico por conta desses fatores, o que, na minha opinião, contribui para uma piora na qualidade dos serviços de segurança da informação e proteção de dados.
(33:06) Muitas vezes, esses profissionais precisam impor medidas que não são bem vistas pela organização e que não serão cumpridas. Eles precisam apontar coisas que estão sendo feitas na empresa e que não podem ser feitas, pois descumprem regras de proteção de dados ou aumentam o risco de segurança da informação.
(33:30) Acredito que é possível fazer uma correlação: melhorar a qualidade e eliminar riscos psicossociais, não só para esses empregados, mas para todos, pode ser um fator importante para as empresas melhorarem a conformidade com segurança da informação e proteção de dados.
(33:57) Essa é uma primeira reflexão. Quando olhamos para a própria resolução do encarregado, diz-se que o agente de tratamento deve prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e autonomia técnica.
(34:21) Sabemos que isso muitas vezes não acontece, o que causa estresse psicológico para esses encarregados. O outro ponto é que, como as empresas agora precisarão gerir esse risco, elas começarão a coletar dados sobre a saúde mental.
(34:41) Claro, muitas empresas contratarão outras para fazer isso, mas, de qualquer forma, novas operações de tratamento de dados sensíveis sobre a saúde psicológica dos funcionários começarão a acontecer. Esses dados ficarão em algum lugar e serão tratados.
(35:03) Haverá uma preocupação adicional com dados sensíveis e ultracríticos, porque, a depender de como forem usados, podem até prejudicar as pessoas. É um cenário bem interessante que se coloca, com novos cuidados. Não sei se você concorda comigo.
(35:25) Se não concordar, fique à vontade, mas acho que há uma relação entre saúde psicológica, riscos psicológicos e a qualidade do trabalho desses profissionais. Sem dúvida nenhuma. No que diz respeito ao trabalho remoto, o profissional de segurança já tem uma tarefa meio ingrata, difícil de fazer funcionar, ainda mais porque impõe limitações aos negócios. Vimos o caso do governo Biden, que se estrepou com as Big Techs porque quis impor limitações.
(36:02) No final das contas, se a organização não tem a segurança ou a proteção de dados como um valor fortemente fixado, como um princípio,
(36:36) sempre que possível, darão uma volta nisso, estando o profissional remoto ou não. E fica a questão dos dados de saúde que terão de ser coletados, o que impõe ainda mais responsabilidade sobre algo que já não está alinhado. A gente ainda não vê a atuação dos órgãos que deveriam reforçar esses cuidados.
(37:13) A gente sente isso. Mas, no final das contas, concordo contigo, foi muito importante a atualização da NR-01, e temos que pensar com cuidado nos seus impactos.
(37:32) No final, todo mundo ganha: as empresas, com um serviço de mais qualidade, e os funcionários, com uma saúde psicológica melhor. Mas tem gente que pensa: “Eu ponho música clássica para a vaca, e ela dá mais leite. Já as pessoas que trabalham comigo, quanto mais pressão, melhor a produção”. É algo que vai além das questões técnicas, envolve filosofia, valores.
(38:10) Funcionários insatisfeitos ou estressados são fontes de risco para a segurança. O cara estressado, assoberbado, vai errar mais, vai tomar atalhos para fazer as coisas rápido.
(38:35) É como na questão da IA. O estudo que você citou sobre a LGPD: tudo bem que se pode acelerar o trabalho com IA, mas não se pode mandar qualquer informação para ela. Não dá para pegar informação de saúde de alguém e mandar para lá para pedir um resumo.
(38:55) Só que, ao mesmo tempo, se a pessoa estiver sob pressão, querendo ganhar tempo a qualquer custo, alguém vai fazer isso. É bastante delicado. Eu tenho uma última notícia, bem rapidinha, para puxar a brasa para o nosso assado.
(39:20) A notícia é que 39 milhões de “secrets” (chaves de autenticação, senhas, etc.) vazaram no GitHub em 2024. A notícia não é muito clara. Vazou porque invadiram o GitHub ou
(39:58) porque o pessoal que usa o GitHub manda o código para lá e deixa as credenciais de acesso no código-fonte, em repositórios públicos? Eles não dizem, mas chama a atenção para um problema que vemos com frequência: o velho esquema de colocar credenciais de acesso em repositórios de código-fonte.
(40:33) Seja em repositório privado ou não. Esse tipo de coisa não se faz, gente. Se você sabe de alguém que está fazendo, ou se você mesmo está fazendo, pare.
(40:51) Credencial de acesso fica no ambiente de execução do sistema, em variáveis de ambiente ou em algum arquivo de configuração. Não dentro do código-fonte nos repositórios.
(41:17) O resultado disso são credenciais vazadas. Acredito que, se tivesse sido uma falha do GitHub, a manchete seria outra. Imagino que seja o pessoal expondo as credenciais por descuido. Além disso, tem uma situação curiosa. Cheguei a separar um print para te mostrar, Guilherme.
(41:48) Eu estava de férias e esqueci de te mostrar. Eu estava desenvolvendo com IA. De repente, enquanto montava um arquivo com credenciais de acesso, a IA começou a me trazer os dados de outra pessoa, inclusive o e-mail. Se trouxesse só a credencial, eu não saberia a quem pertence.
(42:26) Mas, quando fui colocar o e-mail, ela me trouxe um e-mail real de uma pessoa. Tipo, eu estou digitando e aparece “[email protected]” no meio do nada. Preencheu o e-mail e a credencial do cara. Eu dei um print.
(42:49) Mas o que é isso? É vazamento de credencial no GitHub. O que a IA tem a ver com isso? Os modelos, para aprender a programar, são treinados com base em código-fonte existente. A OpenAI e a Microsoft deixaram claro que o Copilot é alimentado pela OpenAI.
(43:22) Eles usaram repositórios públicos para treinar essas IAs. Se você tem alguma chave lá, ela vaza. Isso já aconteceu antes. Você vai lá, vaza suas credenciais em um repositório público, os caras usam para treinar a IA, e em algum lugar lá dentro fica aquela credencial.
(43:59) Lembrando que a IA segue por probabilidade. De acordo com o caminho que você faz, ela te traz a coisa mais provável. Um belo dia, eu estava programando, fiz um caminho parecido com o daquele cara, e “pimba”, a IA joga o e-mail e a credencial dele na tela.
(44:25) Isso é vazamento. Quem quiser experimentar, abra uma IA dessas, pegue um autocompletar e comece a digitar o nome de uma variável comum para uma chave da Amazon, por exemplo.
(44:49) Não lembro o nome de cabeça, mas coloque uma e você vai ver que ele vai preencher com um lixo qualquer. Se a chave estiver funcionando, você consegue usar. Enfim, vazou, e a IA aprendeu. Tem que ter muito cuidado.
(45:09) Gostei dessa notícia porque chamou a atenção para isso: 39 milhões de credenciais vazadas. Não gostei porque não disseram como foi o vazamento. Presumo que sejam credenciais em repositórios públicos no GitHub.
(45:34) Você estava falando, e eu lembrei de um estudo do MIT, o “The AI Risk Repository”, uma base de dados que tenta fazer uma taxonomia dos riscos envolvendo IA. Mas não estava preparado para pegar isso aqui, tenho que estudar melhor. Então, deixa para um episódio temático.
(46:00) Porque tem a ver também. Você abre a possibilidade… mas tudo bem, vou colocar meu código lá. A gente sabe que no próprio GitHub você consegue controlar se o seu código será ou não usado para treinar a IA, assim como acontece com outras ferramentas. Acho que no GPT, só na versão paga você consegue bloquear isso, Vinícius? Para que não usem seus dados para treinar?
(46:38) Eles andaram colocando na versão “free”. Eu estava dando um treinamento e fui mostrar como desativar o uso de dados para treinamento. Havia um momento em que era só para pagos, e eu disse: “Aqui só pagando”.
(47:02) E aí quebrei a cara, porque fui mostrar e consegui ativar no “free”. Sabe qual o único que é “opt-in”? Eu já citei aqui. Por incrível que pareça, o único é o Grok, pelo menos quando assinei. Eu assinei logo que lançaram o Grok 3.
(47:42) Para minha surpresa, a primeira coisa que fiz foi ir às configurações para desativar o que fosse de privacidade, e por padrão já estava desativado. O Perplexity tem que desativar. Sim, o Perplexity e o ChatGPT têm que ser desativados, senão ele fica ativo. O Cloud eu não lembro.
(48:10) O Grok, por padrão, estava desativado; você tinha que ativar. Foi bem interessante. O Cloud, tenho achado muito interessante. Mas aqui já estamos fazendo aquela parte extra que fazemos só no YouTube, mas dessa vez vai ficar no episódio.
(48:37) Eu testo várias ferramentas ao mesmo tempo: Gemini, Cloud, ChatGPT e Grok. Cheguei a usar um chamado Mamute AI, que te dá acesso a todos os modelos por R$ 65 por mês, em vez dos R$ 120 tradicionais. É uma ferramenta bem básica.
(49:24) Tenho ficado bastante surpreso com o Cloud. E uma notícia que não estava no roteiro: a Meta tentou “avacalhar”. Eu dei essa notícia no outro café? Não, você não falou.
(49:44) Ia ser falado no passado, e você não falou. Pode falar. Existe o “LMSys Chatbot Arena Leaderboard”. Vou até acessar para ver quem está na frente. Lá você pode participar. Você dá seu prompt, e vêm respostas de dois modelos que você não sabe quais são.
(50:27) Você escolhe qual é a melhor e vota. Eles têm um leaderboard com várias classificações: linguagem, visão, geração de imagem, etc.
(50:53) O Llama 3 da Meta foi parar em segundo lugar no leaderboard, e depois foi tirado e sumiu. Por quê? O pessoal começou a estranhar que, apesar de estar em segundo lugar, quem estava rodando o modelo (que é open source) estava tendo uma qualidade de resposta muito abaixo do esperado. A Arena foi investigar e descobriu que a Meta estava meio que sacaneando o teste. Entregaram um modelo para o teste e outro para as pessoas.
(52:06) Eles otimizaram o modelo para se sair melhor no tipo de teste que a Arena estava fazendo. Sabe um dos problemas? Se os caras mentem para chegar em um resultado…
(52:29) Eles fraudaram o teste. Foi fraude. A Arena tirou o Llama 3 do leaderboard e implementou novos parâmetros de avaliação para evitar esse tipo de coisa. Eles não confrontaram diretamente, mas fizeram: “Ok, vocês fizeram essa, nós descobrimos, tiramos e vamos implementar recursos para não ter mais espertalhões como vocês fazendo isso”.
(53:01) Eles fraudaram a arena porque prepararam um modelo específico para ela, enquanto se pressupõe que os modelos na arena são os mesmos que estão acessíveis ao público.
(53:25) A Volkswagen fez isso em outro contexto, quando alterava o carro para emitir menos poluentes ao ser testado. Quando detectava que estava em teste, mudava os parâmetros. Isso é fraude. Se eu olhar aqui no leaderboard de linguagem, o Gemini 2.5 Pro está em primeiro lugar.
(53:50) Em segundo, o ChatGPT 4o; em terceiro, o Grok-1; em quarto, o Claude 3 Opus. Presume-se que, se você usar esses modelos, terá resultados condizentes com a sua posição na arena. Mas fizeram essa aí.
(54:23) Só para retomar o que falamos sobre o livro da “whistleblower” do Facebook.
(54:43) O nome do livro é “Careless People: A Story of Power, Greed, and Lost Idealism”, da Sarah Frier (corrigido do áudio, que mencionava “Sarah Win Williams”). Vai estar no show notes. Por enquanto, só em inglês, mas temos que ler esse livro, porque estamos devendo o segundo episódio sobre a Meta. Ainda bem que esperamos.
(55:21) Fomos cobrados pela audiência. A gente foi arrebatado pelas circunstâncias. Está acontecendo tanta coisa, inclusive a primeira notícia de hoje talvez influencie esse segundo episódio.
(55:44) Esse livro vem com novas informações. Teremos que fazer um segundo episódio diferente, talvez ler o livro, aguardar a ação do FTC. Acho que o mais importante é o que ela disse testemunhando no Senado. Tem vídeo na internet. Porque a Meta ter que vender o
(56:16) Instagram, tudo bem, eles dão outro jeito. Muda o cenário, mas não tem nada de errado em si, viram um possível monopólio e querem desfazê-lo.
(56:41) Só que as denúncias dela sobre as práticas do Zuckerberg, negociando dados de cidadãos americanos com a China… E nota o seguinte, estou ficando sem voz.
(56:59) Você lembra do escândalo de espionagem na época do Obama, sobre governos, inclusive a Dilma? E cidadãos americanos. Lembro. E eu fiz piada na época quando ele falou: “Podem ficar tranquilos, não estamos espionando cidadãos americanos”.
(57:28) E a mídia aqui no Brasil: “Eles disseram que não estão espionando”. Eu chamei a atenção no podcast: “Pessoal, eles não estão espionando cidadãos americanos”. Quando falam “americanos”, estão falando deles. Nós estamos no balaio. E depois ficou claro que estavam espionando todo mundo.
(57:56) E agora, de novo, o que ela denunciou é que o Zuckerberg estava negociando com os dados de cidadãos americanos com a China. E os dados do resto do mundo? Já foram. Deixa eu só pegar o gancho para terminarmos.
(58:26) Pegando o gancho da imprensa, a nossa imprensa não explorou adequadamente os assuntos que trabalhamos. É possível ver que a imprensa em geral tem perdido qualidade porque está refém do clique. Uma coisa que me chama atenção, eu abro meu feed de notícias: Globo,
(59:06) Correio Braziliense, Folha. Não vou dizer qual o jornal, mas uma das notícias é: “JK faz harmonização nas mãos com médico de Kim Kardashian em Los Angeles. Confira o resultado”.
(59:30) “Ex-astro mirim de ‘O Sexto Sentido’ é preso e debocha das autoridades”. E quando falo do estudo da FGV, e o jornal não traz o link, é um pouco disso que estou falando. Quando começamos a falar em desinformação, qualidade da informação, é um pouco sobre a responsabilidade da imprensa.
(59:57) Claro, é um problema histórico, no Brasil e no mundo. E tem a liberdade de expressão, podem publicar o que bem entenderem. Não é esse o ponto. Mas a qualidade e a seleção do que entra é um negócio muito crítico.
(1:00:17) Vamos lá, que estou ficando sem voz. Vai tomar um gengibre com mel ou uma caipirinha. Então, agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos sobre a briga da Meta com a FTC que pode dividir a empresa, o estudo que revela o descumprimento da LGPD pelas IAs e o risco de fim do banco de dados de vulnerabilidades CVE.
Você irá descobrir os detalhes da ação antitruste da FTC contra a Meta e como a regulação de big techs impacta o mercado global. Aprofundamos a análise sobre a aderência de plataformas de inteligência artificial à LGPD, destacando falhas críticas em proteção de dados e privacidade. Analisamos também a crise de financiamento do Mitre que ameaça o futuro do CVE, um pilar para a gestão de vulnerabilidades em cibersegurança. Além disso, abordamos o vazamento de milhões de credenciais no GitHub e a nova norma sobre riscos psicossociais, que afeta diretamente os profissionais de segurança da informação.
Assine, siga e avalie nosso podcast para não perder nenhuma análise sobre o mundo da segurança digital.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
📝 Transcrição do Episódio
(00:01) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 390, gravado em 17 de abril de 2025. Eu sou Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último período. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos acompanham pelo YouTube. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.
(00:29) Então, pegue o seu café e vem conosco. Para entrar em contato com a gente, basta enviar uma mensagem para podcast@segurançalegal.com ou também via redes sociais: Mastodon, Instagram, Blue Sky e YouTube. Você também pode apoiar o projeto Segurança Legal pelo apoia.se/segurançalegal.
(00:48) Você escolhe uma das modalidades de apoio e, entre os benefícios recebidos, terá acesso ao nosso grupo exclusivo de apoiadores no Telegram. Lembrando que sempre pedimos para que você considere apoiar um projeto livre e independente de produção de conteúdo. O blog da Brownpipe, brownpipe.com.br,
(01:05) é a empresa que também é uma das mantenedoras do Segurança Legal, junto com os apoiadores. Lá você consegue se inscrever na mailing semanal para receber as notícias publicadas no blog. Vinícius, indo direto ao ponto, o que está acontecendo com a Meta nos Estados Unidos? É um golpe na Meta ou um golpe que pode quebrar a Meta ao meio?
(01:36) Não, mas está bom. É que tem um manual do negócio que está aqui. Está ótimo. Mas vai mudar o sol, tudo bem. Vai ficar assim. Não sei se está te atrapalhando, mas incomoda um pouco, ele está bem claro no fundo. O que aconteceu foi o seguinte: recentemente, o que tem chamado a atenção são duas notícias.
(02:04) Uma delas está relacionada ao fato de que o Zuckerberg teria concordado em compartilhar dados de usuários norte-americanos com a China para entrar no mercado chinês. Inclusive, que o Facebook cooperou ativamente para acelerar o desenvolvimento de IA na China. Isso pré-era Trump.
(02:30) E agora, vai para julgamento no Federal Trade Commission (FTC), lá nos Estados Unidos, a questão de obrigar a Meta a se dividir em mais empresas. Isso tem a ver com Trump e não tem a ver com Trump.
(03:00) Então, a primeira notícia é essa questão do Zuckerberg oferecendo acesso a dados de cidadãos americanos para a China para poder entrar no mercado chinês, inclusive com um sistema de “death” em posts que passam de um certo número de views. Então, parabéns para o Zuk, que agora, desde o início, quando o Trump tomou aquele tiro que pegou de raspão na orelha, foi o momento em que o Zuckerberg primeiro se manifestou de maneira positiva em relação a um candidato e se engajou. Ele não tinha feito isso antes, nem com Trump, nem com
(03:40) Biden, mas naquele momento ele passa a dizer que o Trump era um “badass”, um herói. A partir dali, ele passa a admirar o Trump, isso logo antes das eleições. Desculpa pela minha reação, estava tentando me conter. Então, essa questão da China é nova.
(04:05) Isso está sendo denunciado agora por uma pessoa de dentro do Facebook. E tem a questão do livro, não é isso? Tu queres comentar ou citar o livro, Guilherme? Eu não lembro de cabeça.
(04:21) Então, teve essa denúncia e essa questão do Federal Trade Commission em relação à Meta ter que se dividir. Ela começa com o Trump. Lá no primeiro governo, o Trump não ficou muito feliz com a Meta e o Facebook implementando iniciativas de fact-checking e tirando conteúdo do ar.
(04:55) No final do governo Trump, quando ele perde as eleições e faz aquela chamada para ir ao Capitólio para impedir a validação das eleições, o Facebook entende que aquilo é uma incitação à violência e tira tudo do ar.
(05:22) O Trump não ficou, digamos, muito feliz com isso no final do mandato dele. Então, no finalzinho do mandato, o Trump coloca o FTC para investigar a Meta. Termina o mandato do Trump, e o Zuk entra em lua de mel com o governo Biden, pelo menos no início.
(05:52) No começo, as Big Techs gostaram do governo Biden. Só que o governo Biden começa a demandar a regulação das redes e das tecnologias, e as Big Techs não ficaram nem um pouco felizes com isso. Por fim, o Biden nomeia para o FTC uma pessoa que todas as Big Techs odiavam, e aí a galera se descola do Biden.
(06:27) Mas, ainda assim, o processo do FTC não anda até o final do governo Biden. O FTC reativou essa investigação contra a Meta, e o governo Trump herdou isso reativado. Então, o FTC está ativamente processando a Meta nesse sentido.
(06:56) E apesar de o Zuk ter dito que ama o Trump, o Trump não está correspondendo ao amor dele, está meio que o escanteando. A Meta está tentando, direto na Casa Branca, fazer com que esse processo deixe de existir. E como, nesse momento nos Estados Unidos, não é preciso seguir processo nenhum, é só convencer o Trump a tirar o processo, ele tira e acabou.
(07:23) É o caminho que eles estão tentando, mas o Trump não está dando muita bola. Então, por enquanto, esse processo está andando e, ao que parece, vai adiante. Há um risco bastante grande de a Meta ter que se dividir em mais de uma empresa. A coisa começa com a compra do Instagram. Lá na época, o FTC entendeu que o Instagram era um produto diferente do que o Facebook já oferecia, e hoje eles entendem que compraram um concorrente.
(07:58) Seria um caso de antitruste, que implica uma avaliação se a Meta teria um monopólio com a compra do Instagram e do WhatsApp, junto com o Facebook. Seria para ver se eles teriam o monopólio das redes sociais nos Estados Unidos. Isso acontece ao mesmo tempo em que há aquelas movimentações para o Trump querendo afetar a operação do TikTok, trazer o TikTok para os Estados Unidos, com o X querendo, supostamente, dar uma proposta para comprar o TikTok. Sobretudo Facebook e Instagram. E aqui no
(08:41) Brasil é muito importante isso. Quando a gente fala sobre redes sociais, Facebook e Instagram, o Facebook ainda tem muita gente utilizando. Era isso, Vinícius? Sim, já tinha concluído. Toca a ficha.
(09:11) Aqui no Brasil, falando também um pouco sobre Big Techs e sobre o papel de grandes empresas nesse mercado, passando mais para o mercado da inteligência artificial, esse tema do qual a gente não consegue deixar de falar, saiu um estudo, um “discussion paper” publicado pela FGV Direito Rio, que avaliou o grau de aderência das principais plataformas de inteligência artificial disponíveis no mercado às práticas de proteção de dados, especificamente à LGPD. Ou seja, buscou verificar se os grandes players de IA que estão oferecendo serviços no Brasil estão cumprindo a LGPD. Um parêntese aqui, Vinícius, que
(09:49) deve ser aberto, e é uma coisa que, na nossa imprensa, ao contrário da americana, por exemplo, acontece com bastante frequência: esse estudo foi amplamente divulgado pela imprensa (Globo, O Globo, Folha de S. Paulo, etc.).
(10:12) E, mais uma vez, eles não trazem o link do estudo. Ou seja, você tem que ativamente buscar, pesquisar, perder seu tempo, o que a maioria das pessoas não vai fazer. Se fosse na faculdade, você tomaria um puxão de orelha: “vai botar as fontes aí”. Claro, as pessoas podem querer ler aquele estudo.
(10:32) Além disso, eles avaliaram se as empresas estavam cumprindo a LGPD. O primeiro ponto que avaliaram, além da questão de proteção de dados, foi o uso dessas ferramentas estrangeiras e como isso afeta nossa soberania digital, algo que já falamos várias vezes no Segurança Legal. Ou seja, o Brasil está dependente dessas ferramentas, sem ter uma alternativa viável no momento para
(11:07) migrar para serviços brasileiros ou que não sejam americanos, considerando todos os problemas que estão vivendo com Trump agora. Eles destacaram isso. Começam separando, o que é interessante, o que são os termos de uso e o que é a política de privacidade. Algumas empresas, às vezes, colocam tudo no mesmo documento, mas são coisas diferentes. Os termos de uso estão relacionados às
(11:39) características daquele serviço em específico: como você usa, o que faz e o que não faz. Até questões relacionadas à propriedade intelectual podem estar lá, e em geral estão. Ou seja, o que a ferramenta diz ou transfere sobre os resultados acerca de propriedade intelectual.
(12:03) E as políticas de privacidade vão regular o tratamento de dados. O que eles analisaram nesses serviços? Se há clareza e facilidade no acesso a informações, o mínimo que um agente de tratamento deveria cumprir; se há menção às transferências internacionais e para quais países, observando as regulações da ANPD; se a apresentação dos direitos dos titulares está adequada; e a demonstração das medidas técnicas e administrativas para garantir a segurança. De forma muito
(12:43) interessante, eles se basearam, como referência mínima, no guia de segurança da informação para agentes de tratamento de pequeno porte. E isso é bem interessante, porque, às vezes, quando olhamos para as práticas de empresas que não são de pequeno porte, é comum que elas sequer cumpram o mínimo colocado pela ANPD sobre segurança da informação.
(13:21) Analisaram também as práticas de “data scraping” ou raspagem de dados. Os resultados foram publicados em uma planilha. Lá no estudo, que vamos deixar no “show notes”, estão os resultados.
(13:46) Ali você tem as avaliações de Copilot, Cloud, Meta, Grok e DeepSeek. É uma planilha com oito questionamentos, e eles avaliam se a instituição cumpre ou não, em uma pontuação de 0 a 14. Gemini, Cloud e Meta AI cumprem 11. Nenhuma cumpre todos.
(14:14) Gemini, Cloud e Meta AI cumprem 11; ChatGPT, 9; Copilot, 8; Grok, 6; e DeepSeek, 5. O DeepSeek estaria no fim da lista no que diz respeito às práticas, preocupação que já foi colocada pela própria União Europeia. Basicamente, apenas três dos 14 critérios foram atendidos por todas as empresas, o que
(14:51) leva a um resultado de descumprimento de medidas muito básicas. Eles foram bem conservadores, pegaram coisas básicas, nada demais. É algo que todos deveriam estar cumprindo.
(15:17) Não deveria haver espaço, nesse âmbito e com os riscos que tudo isso representa, para que não fossem cumpridas essas medidas. Pelo que estou vendo, quem mais cumpre é o Gemini, que não cumpre três requisitos. O Cloud também não cumpre três, e a Meta AI não cumpre três.
(15:44) São 14 itens de conformidade. Existem muito mais, mas eles só avaliaram 14. O resultado foi: Gemini 11, Cloud 11, Meta 11, ChatGPT 9, Copilot 8, Grok 6, DeepSeek 5.
(16:15) Eu não esperava muito do DeepSeek. Lembrando que a Meta teve toda aquela questão com a ANPD, do processo, da reversão das práticas de treinar com dados pessoais. Na verdade, são muito mais coisas que deveriam estar sendo cobertas e não estão.
(16:36) É um estudo pequeno, dá para dizer, mas é importante para a tomada de decisões. Porque isso não é só proteção de dados, é também sobre as pessoas que usam essas ferramentas para atividades que eventualmente envolvem segredos comerciais.
(16:54) Essas práticas de proteção de dados, algumas delas sobre segurança, vão se estender também a outros dados críticos que são colocados ali. Vinícius, o que está acontecendo com o Mitre lá nos Estados Unidos?
(17:13) O Mitre, para quem trabalha com segurança da informação, com certeza já ouviu falar, ou pelo menos do CVE. O Mitre é uma organização sem fins lucrativos norte-americana e, entre os vários projetos que mantém, tem o CVE, que é uma base comum de vulnerabilidades.
(17:30) Não é uma base de vulnerabilidades comuns, mas uma base comum de vulnerabilidades. Isso foi criado em 1999, porque até então tínhamos um problema sério que foi sendo resolvido. Qual era o problema? Se eu encontro uma vulnerabilidade em um Windows, Linux ou qualquer aplicação, e preciso comunicar essa vulnerabilidade, como sabemos que estamos falando da mesma coisa?
(18:08) Como fazemos referência a essa vulnerabilidade? Então, o Mitre veio com a iniciativa do CVE, essa base comum à qual todo mundo pode fazer referência. Quando aparece uma vulnerabilidade em um Oracle da vida,
(18:34) é criada uma CVE para essa vulnerabilidade, com toda a descrição, impactos, etc. Acaba sendo uma biblioteca de vulnerabilidades extremamente importante, que virou a referência de fato para o mundo inteiro.
(18:58) É uma taxonomia das vulnerabilidades. Ele faz uma listagem, descreve e avalia cada uma delas. O que acontece é que esse projeto, assim como o próprio Mitre, recebe recursos do governo federal norte-americano.
(19:23) É daí que vem o dinheiro que mantém o Mitre e seus projetos, como o CVE. Aconteceu que a Agência de Segurança Cibernética e de Infraestrutura (CISA), assim como tantas outras, sofreu cortes impostos pelo tal Departamento de Eficiência Governamental (DODGE), que o Elon Musk, sem ser nomeado oficialmente, é quem toca.
(20:02) O fundo foi cortado; na verdade, a renovação não tinha sido garantida. O projeto iria até o dia 11 de abril, e depois não teria mais fundo. Como não teve a renovação, o Mitre avisou que não haveria mais atualização no CVE, que acabaria.
(20:43) Na última hora, a CISA voltou atrás e renovou o contrato por mais 11 meses. Então, estamos falando de mais 11 meses de fundos para o Mitre manter a iniciativa. O pessoal já se deu conta de que não dá para confiar só em verba do governo norte-americano e já começou a se mexer para captar recursos de outras fontes para garantir que o CVE continue existindo. Eu diria, Guilherme, sem exagerar, que ele é crítico para o gerenciamento de vulnerabilidades no mundo inteiro.
(21:22) É a linguagem comum que todo mundo fala. Diversas ferramentas, abertas ou pagas, utilizam e têm como premissa a vinculação com o CVE. Qualquer ferramenta de varredura de vulnerabilidades tem o CVE como sua base de dados de referência.
(21:59) É uma linguagem comum no sentido de que, quando você vai reportar uma vulnerabilidade para um cliente, uma empresa ou um governo, todo mundo fala a mesma língua. Ameaçar isso pode ter consequências desastrosas.
(22:30) Por fim, o financiamento está garantido por 11 meses, mas existe uma previsão de corte de 13 funcionários da CISA. Sabe-se lá o que vai acontecer depois. Torcemos para que o Mitre consiga encontrar outras fontes de financiamento.
(22:56) Eu acho que não vai ser difícil, porque muita empresa grande usa o CVE como referência. Mas é algo com que eles não podem mais contar do governo norte-americano. Eles chegaram a anunciar o fim da atualização, o que era bastante grave.
(23:16) A gente sabe desses improvisos do governo americano. Não sei bem se é uma improvisação, mas acredito que eles podem não ter a visão completa das consequências de mexer não só nessa, mas em várias outras áreas em que o DODGE retira recursos. Saiu uma notícia há bastante tempo,
(23:48) eu vi o pessoal fazendo piada disso no Saturday Night Live, achei que fosse brincadeira, mas é verdade: um dos membros do DODGE que assessora o Elon Musk é um cara chamado Edward Corstein, um jovem de 19 anos cujo apelido era “Big Balls”. Ele foi revelado como tendo prestado suporte técnico a um grupo de cibercriminosos chamado Egodley antes de assumir funções em órgãos oficiais de segurança cibernética dos Estados Unidos.
(24:21) Ele teria uma relação bem estranha com esses órgãos, o que foi revelado por mensagens do Telegram. Não sei se esse corte está diretamente ligado a esse cara, mas é para saber o tipo de pessoa que está lidando com o financiamento de algo tão importante para o mercado de segurança.
(24:52) Isso é bastante relevante e pode impactar completamente os serviços de segurança. Sem contar que esse cara que você citou, junto com toda a equipe que ele comanda, está tendo acesso a informações extremamente sensíveis de toda a população norte-americana.
(25:11) Você lembra quando comentamos do escambo de dados do TSE, que eles iam oferecer uma integração com o Serasa e trocar por certificados digitais? Lembro, claro. E nos chamou muita atenção, era um mau uso dos dados, não é para isso que o TSE os coleta.
(25:34) E o que o Trump está fazendo, em 2013, mais de 300 episódios atrás. Agora, o governo Trump está usando essa equipe que você citou. Os caras estão acessando informações que existem nos diversos departamentos do governo federal para fins diferentes daqueles para os quais foram originalmente coletadas.
(26:08) Desde localizar gente para deportar até dissidentes, o negócio virou uma loucura. O cara está perseguindo dissidentes políticos, no final das contas. Pegando dados da Receita Federal, dados bancários, dados médicos, qualquer coisa que encontrar.
(26:31) E o risco que se coloca é que esses caras vão começar a alimentar ou treinar inteligências artificiais com esses dados. Havia o caso dos dados de saúde, que eram em COBOL, e eles iriam refazer todo o código. Isso já teria começado a dar alguns efeitos na disponibilidade de sistemas, quebrando algumas proteções muito básicas de um estado de bem-estar social já estabelecido. É algo realmente bem
(27:04) crítico. Vinícius, tem um assunto aqui que é meio lateral, mas acredito que tem um ponto bem importante para o mercado de segurança e para os funcionários das áreas de segurança e proteção de dados.
(27:35) Houve recentemente uma atualização na norma de proteção dos trabalhadores, a NR-01, que regula e avalia os riscos ocupacionais nas empresas. Basicamente, toda empresa precisa colocar medidas para garantir que seus funcionários não tenham riscos ocupacionais variados.
(28:11) Riscos de ergonomia, por exemplo, sobre equipamentos, cadeiras e tudo mais, tudo isso entra em uma figura maior de riscos ocupacionais. A partir de maio, com a atualização da NR-01, todas as empresas com funcionários terão que começar a identificar, avaliar e gerir os chamados riscos psicossociais. Então, além de verificar se o cara vai ficar com as costas doendo por causa da
(28:44) cadeira, as empresas terão que verificar esses riscos psicossociais. Isso vem de diretrizes da Organização Internacional do Trabalho e da Organização Mundial da Saúde, agências que estão francamente ameaçadas e afetadas pelo que acontece nos Estados Unidos.
(29:11) Também há um movimento de descredibilização, dizendo que segurança no trabalho não é importante, mas a gente sabe que é. Basicamente, esses órgãos disseram que 12 bilhões de dias de trabalho são perdidos anualmente devido à depressão e ansiedade, o que representa um custo de quase 1 trilhão de dólares para a economia global.
(29:38) Basicamente, eles devem ter pego os dados dos países sobre o número de funcionários e visto quantos dias as pessoas ficaram afastadas por conta desses riscos. A gente sabe que o trabalho é uma dimensão super importante da vida das pessoas.
(30:03) Nós, inclusive, passamos mais tempo trabalhando do que com nossa família ou nos divertindo. O que acontece no trabalho, embora as pessoas não deem muita bola, é crucial para a saúde mental. No Brasil, para ter uma ideia, os afastamentos por transtornos mentais decorrentes de adoecimentos ocupacionais estão em segundo lugar. Esses números têm crescido.
(30:35) A partir de maio, as empresas, ao avaliarem os fatores de risco ocupacionais, terão que investigar perigos decorrentes de problemas na concepção, organização e gestão do trabalho que podem afetar a saúde mental do trabalhador.
(30:58) Isso poderia levar ao agravamento de estresse, esgotamento, depressão, entre outras afetações. Alguns exemplos de perigos e fatores de risco, Vinícius: assédios de qualquer natureza, má gestão de mudanças, baixa clareza de papel, baixas recompensas, falta de suporte, baixo controle e autonomia no trabalho, baixa justiça organizacional, eventos violentos ou traumáticos, baixa demanda de trabalho (há
(31:33) funcionários que são punidos com a falta de funções para que fiquem sem fazer nada, o que é bem conhecido na justiça do trabalho). Por outro lado, excesso de demandas, maus relacionamentos, trabalho em condições de difícil comunicação e trabalho remoto isolado.
(31:58) Você deve estar se perguntando por que isso está aqui. Eu vou te dizer. Na minha experiência, e acho que você vai concordar, muitos problemas relacionados ao trabalho de profissionais de segurança da informação e de proteção de dados estão ligados a alguns desses fatores de risco psicossociais.
(32:33) Ou seja, temos pessoas trabalhando nessas áreas altamente estressadas, com impacto psicológico por conta desses fatores, o que, na minha opinião, contribui para uma piora na qualidade dos serviços de segurança da informação e proteção de dados.
(33:06) Muitas vezes, esses profissionais precisam impor medidas que não são bem vistas pela organização e que não serão cumpridas. Eles precisam apontar coisas que estão sendo feitas na empresa e que não podem ser feitas, pois descumprem regras de proteção de dados ou aumentam o risco de segurança da informação.
(33:30) Acredito que é possível fazer uma correlação: melhorar a qualidade e eliminar riscos psicossociais, não só para esses empregados, mas para todos, pode ser um fator importante para as empresas melhorarem a conformidade com segurança da informação e proteção de dados.
(33:57) Essa é uma primeira reflexão. Quando olhamos para a própria resolução do encarregado, diz-se que o agente de tratamento deve prover os meios necessários para o exercício das atribuições do encarregado, incluindo recursos humanos, técnicos e autonomia técnica.
(34:21) Sabemos que isso muitas vezes não acontece, o que causa estresse psicológico para esses encarregados. O outro ponto é que, como as empresas agora precisarão gerir esse risco, elas começarão a coletar dados sobre a saúde mental.
(34:41) Claro, muitas empresas contratarão outras para fazer isso, mas, de qualquer forma, novas operações de tratamento de dados sensíveis sobre a saúde psicológica dos funcionários começarão a acontecer. Esses dados ficarão em algum lugar e serão tratados.
(35:03) Haverá uma preocupação adicional com dados sensíveis e ultracríticos, porque, a depender de como forem usados, podem até prejudicar as pessoas. É um cenário bem interessante que se coloca, com novos cuidados. Não sei se você concorda comigo.
(35:25) Se não concordar, fique à vontade, mas acho que há uma relação entre saúde psicológica, riscos psicológicos e a qualidade do trabalho desses profissionais. Sem dúvida nenhuma. No que diz respeito ao trabalho remoto, o profissional de segurança já tem uma tarefa meio ingrata, difícil de fazer funcionar, ainda mais porque impõe limitações aos negócios. Vimos o caso do governo Biden, que se estrepou com as Big Techs porque quis impor limitações.
(36:02) No final das contas, se a organização não tem a segurança ou a proteção de dados como um valor fortemente fixado, como um princípio,
(36:36) sempre que possível, darão uma volta nisso, estando o profissional remoto ou não. E fica a questão dos dados de saúde que terão de ser coletados, o que impõe ainda mais responsabilidade sobre algo que já não está alinhado. A gente ainda não vê a atuação dos órgãos que deveriam reforçar esses cuidados.
(37:13) A gente sente isso. Mas, no final das contas, concordo contigo, foi muito importante a atualização da NR-01, e temos que pensar com cuidado nos seus impactos.
(37:32) No final, todo mundo ganha: as empresas, com um serviço de mais qualidade, e os funcionários, com uma saúde psicológica melhor. Mas tem gente que pensa: “Eu ponho música clássica para a vaca, e ela dá mais leite. Já as pessoas que trabalham comigo, quanto mais pressão, melhor a produção”. É algo que vai além das questões técnicas, envolve filosofia, valores.
(38:10) Funcionários insatisfeitos ou estressados são fontes de risco para a segurança. O cara estressado, assoberbado, vai errar mais, vai tomar atalhos para fazer as coisas rápido.
(38:35) É como na questão da IA. O estudo que você citou sobre a LGPD: tudo bem que se pode acelerar o trabalho com IA, mas não se pode mandar qualquer informação para ela. Não dá para pegar informação de saúde de alguém e mandar para lá para pedir um resumo.
(38:55) Só que, ao mesmo tempo, se a pessoa estiver sob pressão, querendo ganhar tempo a qualquer custo, alguém vai fazer isso. É bastante delicado. Eu tenho uma última notícia, bem rapidinha, para puxar a brasa para o nosso assado.
(39:20) A notícia é que 39 milhões de “secrets” (chaves de autenticação, senhas, etc.) vazaram no GitHub em 2024. A notícia não é muito clara. Vazou porque invadiram o GitHub ou
(39:58) porque o pessoal que usa o GitHub manda o código para lá e deixa as credenciais de acesso no código-fonte, em repositórios públicos? Eles não dizem, mas chama a atenção para um problema que vemos com frequência: o velho esquema de colocar credenciais de acesso em repositórios de código-fonte.
(40:33) Seja em repositório privado ou não. Esse tipo de coisa não se faz, gente. Se você sabe de alguém que está fazendo, ou se você mesmo está fazendo, pare.
(40:51) Credencial de acesso fica no ambiente de execução do sistema, em variáveis de ambiente ou em algum arquivo de configuração. Não dentro do código-fonte nos repositórios.
(41:17) O resultado disso são credenciais vazadas. Acredito que, se tivesse sido uma falha do GitHub, a manchete seria outra. Imagino que seja o pessoal expondo as credenciais por descuido. Além disso, tem uma situação curiosa. Cheguei a separar um print para te mostrar, Guilherme.
(41:48) Eu estava de férias e esqueci de te mostrar. Eu estava desenvolvendo com IA. De repente, enquanto montava um arquivo com credenciais de acesso, a IA começou a me trazer os dados de outra pessoa, inclusive o e-mail. Se trouxesse só a credencial, eu não saberia a quem pertence.
(42:26) Mas, quando fui colocar o e-mail, ela me trouxe um e-mail real de uma pessoa. Tipo, eu estou digitando e aparece “[email protected]” no meio do nada. Preencheu o e-mail e a credencial do cara. Eu dei um print.
(42:49) Mas o que é isso? É vazamento de credencial no GitHub. O que a IA tem a ver com isso? Os modelos, para aprender a programar, são treinados com base em código-fonte existente. A OpenAI e a Microsoft deixaram claro que o Copilot é alimentado pela OpenAI.
(43:22) Eles usaram repositórios públicos para treinar essas IAs. Se você tem alguma chave lá, ela vaza. Isso já aconteceu antes. Você vai lá, vaza suas credenciais em um repositório público, os caras usam para treinar a IA, e em algum lugar lá dentro fica aquela credencial.
(43:59) Lembrando que a IA segue por probabilidade. De acordo com o caminho que você faz, ela te traz a coisa mais provável. Um belo dia, eu estava programando, fiz um caminho parecido com o daquele cara, e “pimba”, a IA joga o e-mail e a credencial dele na tela.
(44:25) Isso é vazamento. Quem quiser experimentar, abra uma IA dessas, pegue um autocompletar e comece a digitar o nome de uma variável comum para uma chave da Amazon, por exemplo.
(44:49) Não lembro o nome de cabeça, mas coloque uma e você vai ver que ele vai preencher com um lixo qualquer. Se a chave estiver funcionando, você consegue usar. Enfim, vazou, e a IA aprendeu. Tem que ter muito cuidado.
(45:09) Gostei dessa notícia porque chamou a atenção para isso: 39 milhões de credenciais vazadas. Não gostei porque não disseram como foi o vazamento. Presumo que sejam credenciais em repositórios públicos no GitHub.
(45:34) Você estava falando, e eu lembrei de um estudo do MIT, o “The AI Risk Repository”, uma base de dados que tenta fazer uma taxonomia dos riscos envolvendo IA. Mas não estava preparado para pegar isso aqui, tenho que estudar melhor. Então, deixa para um episódio temático.
(46:00) Porque tem a ver também. Você abre a possibilidade… mas tudo bem, vou colocar meu código lá. A gente sabe que no próprio GitHub você consegue controlar se o seu código será ou não usado para treinar a IA, assim como acontece com outras ferramentas. Acho que no GPT, só na versão paga você consegue bloquear isso, Vinícius? Para que não usem seus dados para treinar?
(46:38) Eles andaram colocando na versão “free”. Eu estava dando um treinamento e fui mostrar como desativar o uso de dados para treinamento. Havia um momento em que era só para pagos, e eu disse: “Aqui só pagando”.
(47:02) E aí quebrei a cara, porque fui mostrar e consegui ativar no “free”. Sabe qual o único que é “opt-in”? Eu já citei aqui. Por incrível que pareça, o único é o Grok, pelo menos quando assinei. Eu assinei logo que lançaram o Grok 3.
(47:42) Para minha surpresa, a primeira coisa que fiz foi ir às configurações para desativar o que fosse de privacidade, e por padrão já estava desativado. O Perplexity tem que desativar. Sim, o Perplexity e o ChatGPT têm que ser desativados, senão ele fica ativo. O Cloud eu não lembro.
(48:10) O Grok, por padrão, estava desativado; você tinha que ativar. Foi bem interessante. O Cloud, tenho achado muito interessante. Mas aqui já estamos fazendo aquela parte extra que fazemos só no YouTube, mas dessa vez vai ficar no episódio.
(48:37) Eu testo várias ferramentas ao mesmo tempo: Gemini, Cloud, ChatGPT e Grok. Cheguei a usar um chamado Mamute AI, que te dá acesso a todos os modelos por R$ 65 por mês, em vez dos R$ 120 tradicionais. É uma ferramenta bem básica.
(49:24) Tenho ficado bastante surpreso com o Cloud. E uma notícia que não estava no roteiro: a Meta tentou “avacalhar”. Eu dei essa notícia no outro café? Não, você não falou.
(49:44) Ia ser falado no passado, e você não falou. Pode falar. Existe o “LMSys Chatbot Arena Leaderboard”. Vou até acessar para ver quem está na frente. Lá você pode participar. Você dá seu prompt, e vêm respostas de dois modelos que você não sabe quais são.
(50:27) Você escolhe qual é a melhor e vota. Eles têm um leaderboard com várias classificações: linguagem, visão, geração de imagem, etc.
(50:53) O Llama 3 da Meta foi parar em segundo lugar no leaderboard, e depois foi tirado e sumiu. Por quê? O pessoal começou a estranhar que, apesar de estar em segundo lugar, quem estava rodando o modelo (que é open source) estava tendo uma qualidade de resposta muito abaixo do esperado. A Arena foi investigar e descobriu que a Meta estava meio que sacaneando o teste. Entregaram um modelo para o teste e outro para as pessoas.
(52:06) Eles otimizaram o modelo para se sair melhor no tipo de teste que a Arena estava fazendo. Sabe um dos problemas? Se os caras mentem para chegar em um resultado…
(52:29) Eles fraudaram o teste. Foi fraude. A Arena tirou o Llama 3 do leaderboard e implementou novos parâmetros de avaliação para evitar esse tipo de coisa. Eles não confrontaram diretamente, mas fizeram: “Ok, vocês fizeram essa, nós descobrimos, tiramos e vamos implementar recursos para não ter mais espertalhões como vocês fazendo isso”.
(53:01) Eles fraudaram a arena porque prepararam um modelo específico para ela, enquanto se pressupõe que os modelos na arena são os mesmos que estão acessíveis ao público.
(53:25) A Volkswagen fez isso em outro contexto, quando alterava o carro para emitir menos poluentes ao ser testado. Quando detectava que estava em teste, mudava os parâmetros. Isso é fraude. Se eu olhar aqui no leaderboard de linguagem, o Gemini 2.5 Pro está em primeiro lugar.
(53:50) Em segundo, o ChatGPT 4o; em terceiro, o Grok-1; em quarto, o Claude 3 Opus. Presume-se que, se você usar esses modelos, terá resultados condizentes com a sua posição na arena. Mas fizeram essa aí.
(54:23) Só para retomar o que falamos sobre o livro da “whistleblower” do Facebook.
(54:43) O nome do livro é “Careless People: A Story of Power, Greed, and Lost Idealism”, da Sarah Frier (corrigido do áudio, que mencionava “Sarah Win Williams”). Vai estar no show notes. Por enquanto, só em inglês, mas temos que ler esse livro, porque estamos devendo o segundo episódio sobre a Meta. Ainda bem que esperamos.
(55:21) Fomos cobrados pela audiência. A gente foi arrebatado pelas circunstâncias. Está acontecendo tanta coisa, inclusive a primeira notícia de hoje talvez influencie esse segundo episódio.
(55:44) Esse livro vem com novas informações. Teremos que fazer um segundo episódio diferente, talvez ler o livro, aguardar a ação do FTC. Acho que o mais importante é o que ela disse testemunhando no Senado. Tem vídeo na internet. Porque a Meta ter que vender o
(56:16) Instagram, tudo bem, eles dão outro jeito. Muda o cenário, mas não tem nada de errado em si, viram um possível monopólio e querem desfazê-lo.
(56:41) Só que as denúncias dela sobre as práticas do Zuckerberg, negociando dados de cidadãos americanos com a China… E nota o seguinte, estou ficando sem voz.
(56:59) Você lembra do escândalo de espionagem na época do Obama, sobre governos, inclusive a Dilma? E cidadãos americanos. Lembro. E eu fiz piada na época quando ele falou: “Podem ficar tranquilos, não estamos espionando cidadãos americanos”.
(57:28) E a mídia aqui no Brasil: “Eles disseram que não estão espionando”. Eu chamei a atenção no podcast: “Pessoal, eles não estão espionando cidadãos americanos”. Quando falam “americanos”, estão falando deles. Nós estamos no balaio. E depois ficou claro que estavam espionando todo mundo.
(57:56) E agora, de novo, o que ela denunciou é que o Zuckerberg estava negociando com os dados de cidadãos americanos com a China. E os dados do resto do mundo? Já foram. Deixa eu só pegar o gancho para terminarmos.
(58:26) Pegando o gancho da imprensa, a nossa imprensa não explorou adequadamente os assuntos que trabalhamos. É possível ver que a imprensa em geral tem perdido qualidade porque está refém do clique. Uma coisa que me chama atenção, eu abro meu feed de notícias: Globo,
(59:06) Correio Braziliense, Folha. Não vou dizer qual o jornal, mas uma das notícias é: “JK faz harmonização nas mãos com médico de Kim Kardashian em Los Angeles. Confira o resultado”.
(59:30) “Ex-astro mirim de ‘O Sexto Sentido’ é preso e debocha das autoridades”. E quando falo do estudo da FGV, e o jornal não traz o link, é um pouco disso que estou falando. Quando começamos a falar em desinformação, qualidade da informação, é um pouco sobre a responsabilidade da imprensa.
(59:57) Claro, é um problema histórico, no Brasil e no mundo. E tem a liberdade de expressão, podem publicar o que bem entenderem. Não é esse o ponto. Mas a qualidade e a seleção do que entra é um negócio muito crítico.
(1:00:17) Vamos lá, que estou ficando sem voz. Vai tomar um gengibre com mel ou uma caipirinha. Então, agradecemos a todos que nos acompanharam. Nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
173 Listeners
Giro do Loop
91 Listeners
Tecnocast
42 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
45 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners