Sign up to save your podcasts
Or
Share Episódio #380 – Futuro da IA e Trump, Cortex, bug no Nubank
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #380 – Futuro da IA e Trump, Cortex, bug no Nubank
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
Neste episódio comentamos sobre o futuro da IA sob a gestão de Trump, o controverso sistema de vigilância Cortex e um bug no Nubank. Você irá descobrir os impactos da desregulamentação tecnológica e as consequências éticas e legais de falhas de segurança.
Guilherme Goulart e Vinícius Serafim aprofundam a discussão sobre o futuro da Inteligência Artificial com a eleição de Donald Trump e a prometida revogação da regulação de IA, analisando o papel de Elon Musk neste novo cenário. A conversa aborda a importância da segurança da informação e da proteção de dados ao examinar o sistema Cortex do governo e o recente vazamento de dados. Além disso, eles debatem a vulnerabilidade no Nubank, que levantou questões sobre crime cibernético e ética. Este episódio é essencial para quem se interessa por cibersegurança, privacidade e o impacto da tecnologia na sociedade, conectando as falhas de sistemas com a LGPD e o ethical hacking. Para não perder análises como esta, assine, siga e avalie nosso podcast em sua plataforma de áudio preferida.
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 380, gravado em 22 de novembro de 2024. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último mês, porque ficamos um mês sem gravar. E aí, Vinícius, tudo bem? Olá, Guilherme, e olá aos nossos ouvintes e internautas. Ficamos bastante tempo sem gravar por várias coisas. Teve Feriadão, que acabou gerando algumas viagens e alguns deslocamentos.
(00:38) Teve dois feriados. Tivemos um que caiu na quinta e outro que caiu na sexta-feira. Não, quarta e sexta. Depois, tivemos mais algumas coisas. Bom, acabou que tudo isso, em mais algumas situações, se juntaram para não gravarmos por um mês, praticamente. Mas estamos de volta. Estamos de volta aqui para partilharmos este momento de conversa sobre algumas notícias que nos chamaram a atenção, desta vez, tomando um café de verdade. Eu estou aqui com a minha caneca do Segurança Legal.
(01:16) Está com um quebradinho aqui, Vinícius, mas está valendo. E eu estou com o meu negócio de Segurança Legal. Tu ganhou um desses, não ganhou? O quê? Pera, não estou vendo. Sim, tu tens um desses ou não? Tenho. Não, não tenho. Eu tenho o adesivinho ali. Aliás, neste final de ano, vamos nos comprometer publicamente agora: vamos sortear umas canecas. No final de ano ou início do próximo. Vamos ver, que a coisa tende a ser meio conturbada agora.
(01:55) Neste último mês e meio que temos pela frente. Se você quiser, mande uma mensagem lá no [email protected], no Mastodon no @[email protected] e também no Bluesky @segurancalegal.bsky.social. O Guilherme, o direitodatecnologia.com, que sou eu, e o Vinícius é o @vserafim.
(02:28) E claro, sempre sugerimos que você apoie o Segurança Legal lá no apoia.se/segurancalegal. Escolha uma das modalidades de apoio. Principalmente, você estará envolvido num projeto livre, desimpedido, Vinícius, de produção de conhecimento e de informação. Agradecemos, é bastante importante. Você também consegue ter acesso ao nosso grupo de apoiadores lá no Telegram. Acesse o blog da Brown Pipe. A Brown Pipe também é uma das mantenedoras deste podcast, melhor dizendo. Então, você acessa o site da Brown Pipe para ver os serviços que ela presta.
(03:05) E também o mailing e as notícias do blog, que você pode receber. Vinícius está mostrando aí algumas das notícias da última semana. Você também consegue nos assistir lá no YouTube. Os nossos rostinhos bonitos estão lá à disposição e você pode ver os episódios passados, vídeos que o Vinícius grava com alguns tutoriais e tudo mais. É isso, Vinícius. Isso aí. Vamos para a mensagem de ouvinte. Vamos ver a mensagem que o nosso querido amigo Ricardo Berlim mandou sobre aquele episódio em que falamos sobre os celulares nas escolas.
(03:48) Inclusive, esse tema tem evoluído, Vinícius, com uma evolução de projetos de leis e de leis nos estados. Fizeram uma reportagem no Fantástico há umas duas semanas também. Eu também não vi, vi que saiu, mas não cheguei a assistir. Mas basicamente ele estava numa sala de aula com as crianças mexendo no celular sem parar. Bem-vindo ao mundo dos professores. O Ricardo Berlim diz o seguinte, se referindo à pesquisa que falamos no episódio 378: quanto à pesquisa sobre o uso do
(04:22) celular por crianças, acho que os dados fazem sentido. Muitos pais, como eu, deram celulares para as crianças durante a pandemia a fim de suprir uma carência de interação e viabilizar a participação em atividades escolares e hoje se arrependem. Acho que isso ajuda a explicar por que tantas crianças têm celular e, ainda assim, tantos pais gostariam que elas não tivessem. Em nosso caso, aqui em casa, tentamos deixar regras bem estabelecidas, usamos o controle parental do Google. Fica aí uma dica de episódio, ele diz, para tentar ter algum controle de tempo e conteúdo.
(04:51) Infelizmente, no computador que eles também têm acesso, o Linux não dispõe de ferramentas tão eficientes, mas ainda assim mantemos algum controle. Temos regras como: nada de aparelhos na mesa durante almoço e jantar; os dispositivos devem ser usados ou deixar de ser usados até às 20 horas, com exceção de ouvir um ou dois episódios do podcast infantil para ajudar a embalar o sono. Ou também, por que não ouvir um ou dois episódios do podcast Segurança Legal? As crianças vão gostar também. E a parte mais difícil: tentar
(05:22) estar à disposição das crianças quando elas querem fazer uma atividade offline, o que também ajuda a fazer com que a gente se desconecte. Mas a vida moderna… A mais nova, de 1 ano e meio, já quer pegar o celular quando fazemos um vídeo com os avós que estão longe ou para pedir a infame Popó, que seria, diz ele, a tal da Galinha Pintadinha. Um grande abraço. Abraço, Ricardo. E aí, Vinícius? Eu tenho um comentário: Ludovico Einaudi. Conhece Ludovico Einaudi? Os meus dormem muito bem ouvindo “Experience”
(05:54) do Ludovico Einaudi, então fica a dica de usar o Ludovico Einaudi para botar as crianças para dormirem. De fato, o que ele coloca é bem relevante, principalmente, eu sinto muito na questão do offline, Guilherme. Porque no momento em que tu desligas a TV… Os nossos não têm celular, nenhum deles, nem o mais novo nem a mais nova. Já pediram algumas vezes, mas a gente explica por que não damos, como eu comentei naquele episódio, e continuamos não dando.
(06:30) Mas acabamos batendo na questão da TV. E é muito claro, muito perceptível: quando tu desligas a TV, eles buscam atividades offline. Estar disponível é, muitas vezes, uma dificuldade. Porque de tarde, por exemplo, agora à tarde nós estamos gravando. O meu maior está aqui, está em casa, tem atividade até um certo horário e agora está livre, está lá grudado na TV. Já vi que ele está na TV. Mas, nesse momento, eu não posso estar lá com ele. Então, tem essa coisa de estar junto, fazer
(07:10) offline, ela demanda mais dos pais. Aqui, a gente investe bastante em jogos de tabuleiro, coisinhas, jogos simples para jogar com a menor, mas não adianta. Ter filhos é ter uma dedicação a eles, para além de simplesmente nutri-los e educá-los, dando educação formal na escola. E eu entendo bem o que o Ricardo está colocando. É realmente delicado, mas é necessário. E quem sabe o Harari, que escreveu o livro “21 Lições para o Século 21”,
(07:57) coloca que uma das questões que talvez seja mais valorizada no futuro, inclusive remunerada, seja esse tempo de cuidado com crianças. Mas a gente sabe muito bem que tem países hoje que nem sequer dão licença remunerada para os pais que acabaram de ter filhos, imagina para educar. Quem sabe seja no futuro, mas é bem isso, Ricardo.
(08:38) É bem delicado, as pressões são bem grandes, como a gente comentou naquele episódio. Tá bom. Feito. Um abração, Ricardo. Obrigado pela mensagem. Abraço, obrigado. E esse tema vai voltar. A questão de educação… Ontem eu estava falando com a minha esposa que ela está fazendo uma cadeira aqui no Instituto Federal, no mestrado de Educação, e ela está trazendo uns livros bem interessantes. Depois vou ter que te mostrar, Vinícius, fica para um próximo episódio, mas de algumas pessoas que estão, de fato, pensando.
(09:09) E esses insumos que a gente tem da Faculdade de Educação são interessantes. Não é nossa área, mas tem gente muito legal pensando o uso dessas tecnologias. Para o ano que vem, vamos voltar a falar sobre esse tema, que é um tema de bastante interesse da minha parte. Vinícius, vamos falar então sobre Trump, Donald Trump. Poucas pessoas se lembram, eu falava sobre isso com o Vinícius, nem ele lembrava. São 380 episódios, de fato, às vezes tem coisas que a gente não lembra, mas lá em 2016 nós gravamos um episódio, que eu confesso para vocês, também não tive
(09:48) tempo de ouvir nem revisitar o show notes que a gente deixa guardado, mas fizemos algumas previsões lá com a primeira eleição do Trump em relação à tecnologia de maneira geral, que é o nosso interesse aqui e o interesse deste podcast: tecnologia, sociedade, segurança da informação e agora IA. Só lembrando, nesse episódio tivemos o Diego Canabarro, nosso querido conterrâneo e amigo. Se ele estiver nos ouvindo… Ele participou com a gente lá em 2016.
(10:21) Qual é o tema agora? Enfim, quando fizemos aquela gravação em 2016… Trump foi eleito nesse último mês que ficamos sem gravar. Uma das coisas que ele já havia se manifestado sobre, ainda em outubro, é que, porque lá nos Estados Unidos o presidente Biden teve uma Executive Order, que seria quase como um decreto presidencial, estabelecendo algumas regulações de IA. E veja,
(10:57) eram regulações… essa Executive Order não era nada demais, é meio que o consenso que nós temos no que diz respeito à regulação da IA, os controles, os guard rails que os estudiosos e as pessoas que lidam com esse tema têm quase como um consenso, por exemplo, regras éticas, de segurança e tudo mais. O Trump agora se manifestou dizendo que, abre aspas, “vamos revogar a perigosa ordem executiva de Joe Biden que impede a inovação em IA e impõe ideias radicais de esquerda ao desenvolvimento dessa tecnologia”. Essa Executive Order, na verdade,
(11:35) não tem nada de extrema-esquerda, é uma norma, como eu disse, de regulação de IA. Fala sobre aspectos éticos, segurança da informação, proteção de dados, privacidade. E aí, talvez o que tenha preocupado o governo Trump e o Trump de maneira geral são aquelas regras de promoção de equidade e para evitar a discriminação e os vieses discriminatórios, além de proteção de consumidores, que é um dos grandes temas hoje quando falamos em IA, seja pela via dos dados com que você treina e tudo mais. Mas existem dezenas ou
(12:09) centenas, talvez milhares de estudos que convergem no sentido de demonstrar os riscos e, não somente os riscos, mas as comprovações dos mais variados vieses que os modelos acabam tendo, seja pelos dados de treinamento, seja pela forma como são treinados, falta de medidas para conter certos comportamentos. Basicamente, o que eles acabaram dizendo é que a intenção com a revogação dessa ordem, que é o que deve acontecer, é que a IA se desenvolveria somente com base na proteção da liberdade de expressão e no
(12:45) bem-estar humano. O mais interessante é que essa ideia de buscar liberdade de expressão e bem-estar humano não é incompatível com as regras dessa ordem executiva. Pelo contrário, parece que essas regras buscariam justamente o bem-estar humano. Sim, bem-estar humano sim, liberdade de expressão também, mas a gente sabe que o governo Trump e outros governos… Os Estados Unidos até têm uma visão, uma compreensão da liberdade de expressão bem diferente da nossa aqui, mas
(13:21) tem-se uma interpretação um tanto quanto exótica da liberdade de expressão, como se ela servisse para, por exemplo, causar danos, cometer crimes. E a liberdade de expressão é um direito que encontra limites quando se choca com outros direitos fundamentais. Essa é uma visão mais europeia da liberdade de expressão. Eles também falaram que essas regras seriam “woke safety standards“. Esse termo “woke“, usado com bastante frequência pelo governo Trump e por aqueles que seguem mais ou menos essa linha mais trumpista…
(13:57) O The Beat, que foi o texto que a gente traz, essa notícia que lemos aqui, junto com outras coisas para falar sobre esse tema, disse que é impossível separar essa intenção de revogar essa ordem da participação de Elon Musk no governo. O próprio Elon Musk já teria, no passado, criticado o ChatGPT, chamando-o de “woke“. O Ted Cruz também teria chamado as regras do NIST, porque essa Executive Order fala sobre a aplicação de algumas regras do NIST, e até a criação delas, sobretudo para a questão de
(14:32) segurança. Então, o Ted Cruz chamou algumas regras do NIST de “woke AI safety standards“, e que isso teria a intenção de controlar o discurso. Uma preocupação muito grande com o problema da liberdade de expressão, quando a gente sabe que a liberdade de expressão tem sido usada como desculpa até para a difusão de desinformação. E temos visto isso muito mais fortemente no X, depois da compra pelo Elon Musk. Então, basicamente, fica claro que eles estão se colocando contra medidas que impedem
(15:10) discriminação e desinformação. Esse é o ponto. Eles estão se colocando contra isso. E quando a gente olha no que o Twitter se tornou hoje, poderíamos correr o risco de que essa lógica do Twitter, do X, se projetasse também por uma falta de regulamentação da IA no mundo, com riscos, como eu disse, bastante previsíveis. No final das contas, o propósito deles seria relaxar essas regras para permitir que novas aplicações e novos desenvolvimentos da IA fossem realizados, fossem implementados, desprezando os
(15:47) riscos existentes e, ao mesmo tempo, favorecendo justamente uma indústria da qual o próprio Elon Musk faz parte. O Elon Musk também tem interesse num desenvolvimento de IA com a derrubada de certos limites e de certas questões que visam justamente proteger as pessoas. Esse é o consenso. Você conseguiria atingir mais rapidamente um lucro. E aí, quando você nega, sobretudo com IA… Acho que com qualquer tecnologia podemos falar isso, mas é bastante perigoso hoje, porque muitos dos usos de
(16:24) IA ainda possuem riscos inimagináveis. Nós não sabemos exatamente como isso vai se dar, por exemplo, na educação, que estávamos falando aqui antes. Então, quando você relega para segundo plano esses potenciais impactos negativos, podemos sim ter pessoas que certamente vão ser afetadas, sobretudo aquelas que já são discriminadas: grupos discriminados, pessoas negras, pessoas vulneráveis e tudo mais. No final das contas, Vinícius, o que também chamou bastante atenção é que isso tudo se vincula com
(17:01) o protagonismo que o Elon Musk vai ter no próximo governo. Ele vai ter um cargo numa comissão de eficiência governamental, que basicamente vai buscar uma desregulamentação. E aí tem um artigo, que vai ficar no show notes, da The Economist, que é insuspeita. Você não pode falar que a The Economist é “woke” ou de esquerda, bem pelo contrário. E ela coloca alguns riscos desse protagonismo do Elon Musk no governo que virá agora. Claro, ele entrou de cabeça na campanha. Quem acompanhou mais de perto viu a
(17:38) participação dele. Inclusive, foi feito um estudo, eu não trouxe aqui, que envolveu o próprio favorecimento de posts e do engajamento em cima de conteúdos que favoreciam o Trump. Foi feito um estudo que comprovou isso, depois se eu achar eu coloco aqui no show notes. E basicamente o risco que o The Economist está dizendo é que ele poderia favorecer mercados em que as suas empresas atuam, isso poderia prejudicar a concorrência e também um risco, acho que maior ainda, o fato de ele atuar em áreas que ele não tem
(18:11) conhecimento. Veja quem está falando isso é a revista The Economist. Lembrando, e aí quem fala agora sou eu, das peripécias do Elon Musk que foram contadas naquele livro “Character Limit” do Kate Conger e Ryan Mac. Quem viu, a gente falou um pouco sobre esse livro aqui. Mas, basicamente, a The Economist ainda termina dizendo que nós corremos o risco de, a partir de agora, se naturalizar este, e eles usam exatamente essa palavra, o conluio entre políticos e magnatas. E que foi uma coisa que, embora sempre tenha ocorrido, talvez com uma
(18:49) forma um pouco com mais pudor, agora se tornou despudorada. A olhos vistos, você consegue ver essa junção, esse conluio, nas palavras da The Economist, que pode vir a ser um problema, especialmente para a IA, que é o tópico do nosso comentário. Mas, a ver como essas coisas vão se desenvolver a partir de agora, Vinícius. Pois é. E o Elon Musk está processando, acho que pela terceira vez, a OpenAI e botou no mesmo saco agora a Microsoft também, com relação ao uso de Inteligência Artificial. Vamos ver o que vai dar isso aí. Quer pegar
(19:27) mais uma tua? Pode ser. Eu trago uma aqui. Já que eu citei agora o Elon Musk com Inteligência Artificial, eu vou pegar uma minha rapidinho aqui, que é da Microsoft. É algo que a gente já comentou em outros episódios. O problema hoje, não que seja o único problema da Inteligência Artificial, longe disso, mas um ponto importante é ter informação de qualidade para treinar modelos de IA. A notícia que eu trago rapidamente aqui é que a Microsoft fez uma parceria com a HarperCollins, que é uma
(20:11) editora. Ela detém vários títulos, e aqui eles citam várias vezes que são títulos de não ficção. Porque ficção, claro, é interessante também para treinar IA, mas não ficção é melhor ainda. A ideia é que eles vão ter acesso por 3 anos aos títulos para poder fazer treinamento de modelos de Inteligência Artificial ainda não definidos. Isso ainda não foi definido, que modelo que é, exatamente qual é o uso. E os autores poderão fazer um opt-in voluntário de ter as suas
(20:53) obras utilizadas nessa parceria entre Microsoft e HarperCollins. Claro que há várias… Aqui tem uma coisa interessante que eu queria citar: no início deste ano, o Google entrou em um acordo com o Reddit de 60 milhões de dólares para também usar os reddits para o treinamento dos seus modelos de IA. Certo? Mas vai pagar para os usuários do Reddit? Provavelmente não. Passa longe. Então, assim como o X fez mudança nas políticas para poder usar os posts para treinamento, ou seja, tudo que gera hoje
(21:35) dado orgânico… Vi uma outra esses dias: a Niantic está usando os dados do Pokémon GO gerados pelo jogo, com os usuários utilizando o jogo… Sim, Pokémon GO ainda existe. Utilizando esses dados para treinamento de modelos de IA. É um problema conseguir dados, dados de qualidade, principalmente orgânicos. Dados sintéticos têm sido utilizados para fazer alguns treinamentos e as últimas notícias é que não tem sido bom o resultado. Então, a Microsoft faz um acordo com a HarperCollins. Eu acho que a gente vai ver cada vez mais isso. Tem muito dinheiro
(22:18) sendo investido em IA e isso dá um poder de aquisição para as OpenAIs da vida, para o Google, Microsoft etc., botarem grana a valer em aquisição de bases de informações, datasets, para conseguir fazer o treinamento dos seus modelos de IA. Então, está aí a notícia, fica o link lá depois para o pessoal no nosso show notes. E tu tinhas uma de IA para encaixar com essa, não tinha? Não, eu só queria te dizer que tu falou sobre a mudança da política do X. A ANPD já convocou o Twitter, ou X, para
(22:57) explicar essa questão. Isso foi lá em outubro, eu acho, logo que eles fizeram aquela proposta da alteração de usar os dados das pessoas sem que elas pudessem fazer o opt-out. Eu acho até que a gente já comentou isso aqui no episódio passado, mas enfim, fica a referência. Na verdade, eu tinha uma aqui sobre a questão dos riscos. São duas: uma diz respeito ao problema dos riscos que comentamos antes, só retomando, porque teve um caso que envolve IA também, de um rapaz que
(23:32) começou a ter uma relação um tanto quanto complicada com uma IA que simulava personagens. Ele usou o Character.AI e lá tu podes criar um personagem como tu quiseres. Pois é. Um dos possíveis riscos no uso de IA são essas situações em que pessoas mais vulneráveis poderiam ter certas vulnerabilidades ampliadas ou trazer certos riscos até para a vida das pessoas. Então, nós temos isso também que se liga com um possível mundo em que
(24:14) você abra a guarda para a regulamentação. Você pode ter… claro, isso é um exemplo bem extremo de risco, não dá para se pautar por isso, temos que reconhecer, mas isso está acontecendo. Tem uma ação judicial lá nos Estados Unidos. Agora, aqui pelo Brasil, sobre este problema do treinamento, a gente sabe que há ações judiciais inclusive contra a Perplexity, e o New York Times tem uma… Inclusive, essa semana… O New York Times tem contra todo mundo. O New York Times está processando a OpenAI, está processando todo
(24:47) mundo. E a gente vai precisar de uma teoria, e eu tenho certeza que nós vamos precisar reinterpretar as próprias leis de proteção de direitos autorais ao redor do mundo. Porque me parece, não sei se é bem uma tese, também não sei se sou só eu que digo isso, mas essas novas projeções que a gente tem pela via do treinamento, ou seja, um novo uso que você faz de obras protegidas por direitos autorais para chegar a um modelo, me parece que isso também deve ser entendido como uma violação de direitos autorais. E se isto não é claro,
(25:24) nós vamos precisar alterar as nossas leis de direitos autorais para prever proteção em relação ao uso de IA. Qual é a notícia, então? Bem rapidinha: 99% dos sites de jornalismo no Brasil, disse o Núcleo Jornalismo, permitem o uso de conteúdo para treinar IA. Talvez o título seja um pouco enviesado, não é que eles “permitem” o uso de conteúdo, eles não dizem explicitamente que não pode. Ou seja, está lá e não tem nenhuma proteção contra. É, embora essa proteção a que ele se refira aqui também
(26:07) não é uma… você pode desrespeitar essa proteção, vamos lá, que é o robots.txt. O que é o robots.txt? Se eu falar errado aqui, Vinícius, você, que é da área mais técnica, me corrija. Mas é um arquivo TXT que fica na raiz de qualquer site onde você consegue dar algumas instruções, sobretudo instruções que envolvem a não indexação daquele conteúdo, caso você não queira que ele seja indexado. Então os crawlers, os robôs que ficam varrendo a internet, sobretudo do Google, dos buscadores, para usar um exemplo, passam pelo teu site, leem o robots.txt,
(26:42) veem que não podem indexar e seguem adiante. Por que eu digo que eles podem desrespeitar? Porque, na verdade, o robots.txt é um acordo de cavalheiros. “Eu quero passar, ler.” “Ó, não entra em tal lugar.” “Então tá, não vou entrar.” É um acordo de cavalheiros. O que o Núcleo disse? Que os jornais, e talvez pouca gente saiba, a gente já falou aqui no passado, as empresas de IA, para falar somente da OpenAI, elas também têm os crawlers que ficam varrendo a internet para treinar silenciosamente. Quer dizer, não é tão silenciosamente,
(27:21) porque você vê lá nos logs que o IP deles acessou. Mas se você entra lá na OpenAI e busca por “crawler”, “robots”, você vai encontrar as instruções dos endereços IPs lá para fazer o bloqueio, Vinícius. Estou te mandando o link aqui. E a notícia justamente é essa: que esses jornais, talvez por ignorância – aqui não ignorância do ponto de vista negativo, mas por não saberem que podem realizar esse bloqueio pela via do robots.txt. Estou carregando o site aqui, está com
(27:58) um probleminha… Não, agora veio. Deixa eu só compartilhar com o pessoal aqui. “Search bot”. Não, não é isso, Vinícius, eu te passei o link errado. Mas está aqui, user-agent, está certinho. Você inclusive pode bloquear, pelo que estou vendo aqui, o “search bot”, que é outra coisa, não é o crawler. É você impedir que a resposta do GPT use a pesquisa no teu site para produzir uma resposta. Seria um outro tipo de bloqueio.
(28:43) Perfeito. O que mais temos aí, Vinícius? Hoje a gente está um pouco mais rapidinho. É, eu tive que pegar uma pastilha aqui, senão vou começar a tossir e não vou parar. Vai lá. Eu vou compartilhar uma rapidinha, essa aqui é bem rápida, e na sequência pego a do Nubank. Para quem acompanha segurança da informação, principalmente coisa de pentest, saiu há poucos dias, no dia 20, na verdade, dois dias atrás,
(29:20) pelo menos a notícia no BleepingComputer, o Mitre compartilhou a lista que eles fizeram do Top 25 das fragilidades mais perigosas em software. É interessante, a gente tem o OWASP Top 10, que vai ser atualizado no ano que vem, 2025, já anunciaram, e tem essa lista do CWE, que é o Top 25 do CWE. Nessa lista, vou só citar alguns rapidamente, porque não deve ser nenhuma surpresa e nos chama a atenção porque continuamos encontrando esse tipo de
(30:00) vulnerabilidade nos softwares por aí quando fazemos pentest. Elas continuam aparecendo. Então: Cross-Site Scripting está em primeiro lugar. Velho e bom conhecido Cross-Site Scripting. Out-of-Bounds Write não é tão comum de se encontrar, mas, no geral, na pesquisa deles aparece com bastante frequência. Aí depois vem SQL Injection, um outro bem conhecido, já foi o primeiro lugar em outros momentos. Já foi primeiro. Mas é impressionante como SQL Injection ainda aparece nessas listas. Terceiro lugar, medalha de
(30:38) bronze. Está bom, de 25 está ótimo. Cross-Site Request Forgery (CSRF) é outro comum. Path Traversal, muito comum. Out-of-Bounds Read, nem tanto. Missing Authorization, que é a falta de controle de autorização. Então, autenticou o cara, mas não verifica se o cara deveria poder acessar alguma coisa. Injeção de código e por aí vai. A 14ª, que eu acho que poderia estar mais para cima, é Improper Authentication (autenticação inadequada).
(31:11) Tem muito problema de autenticação. Tanto que eu gravei um vídeo só sobre autenticação lá nos ao vivos do Segurança Legal, discuti só autenticação para desenvolvedores. E por aí vai o Top 25. Esse tipo de lista é interessante para quê? Quando você vai passar por um pentest, é bom se certificar de que, pelo menos, o que está no Top 10 da OWASP ou no Top 25 do CWE seja verificado nos seus sistemas.
(31:48) Porque esse aqui é o tipo de coisa que tende a ser mais explorado em um ataque. É só o que está na lista? Óbvio que não, mas aqui, como o próprio nome diz, é o Top 25. A outra notícia que eu vou trazer é com relação ao Nubank. E aqui tem uma coisa que me chamou a atenção, a gente acabou até discutindo um pouquinho sobre isso antes de entrar no ar. Deu um bug no Nubank que permitiu… O Nubank tem um esquema de saque de dinheiro nos terminais 24 horas. Se eu não estou
(32:26) enganado, é gratuito para os correntistas ou para o Ultravioleta, não sei. Mas tem lá para você poder sacar dinheiro, já que o Nubank não tem caixas próprios. O bug permitiu que correntistas sem saldo suficiente, ou sem o saldo correspondente, conseguissem sacar dinheiro nos Bancos 24 Horas. Resultado: um monte de gente foi sacar dinheiro. O bug foi informado no TikTok por duas pessoas que falaram… não sei se foram as primeiras que se deram conta, mas elas mesmas falaram que
(33:09) sacaram milhares de reais sem terem saldo na conta. Claro, a notícia é: o que tu fazes quando encontras uma oportunidade dessas? Exato, e vai para o TikTok. No TikTok. A notícia está no TecMundo. O pessoal foi lá e começou a anunciar, e a galera começou a ir para os bancos 24 horas fazer fila, inclusive de madrugada, segundo notícia do TecMundo, para sacar dinheiro que não estava na sua conta, que não existia na sua conta. Aí, Guilherme, isso aqui me chamou um pouco a atenção na matéria, até porque eles começam a trazer o que poderia acontecer. Até o título da
(33:48) notícia é: “Quem aproveitou o bug e sacou dinheiro ‘de graça’ pode ser preso?”. Esse é o título da notícia. A crise ética que a gente vive, que não importa se vai ser preso ou não, cara, tu não fazes isso. Mas tudo bem. Claro, tu não fazes isso. Exato. Sacar dinheiro após um bug é crime? Diz aqui: “De acordo com a advogada especialista em direito, a exploração de uma falha como a registrada pelo Nubank pode ser enquadrada como um crime de furto, previsto no artigo 155 do Código Penal, que prevê como pena de um a 4 anos de
(34:23) reclusão. Porém, isso não significa que os clientes que fizeram o saque podem ser presos.” Beatriz ressalta que, em casos como este, é possível que um acordo de não persecução criminal seja ofertado aos consumidores. Na prática, isso significa que os clientes podem evitar um processo e eventual condenação, possivelmente junto ao Ministério Público, a partir do retorno dos valores retirados. O correntista deve se sujeitar ao pagamento dos encargos pelos valores sacados, do contrário haveria vantagem ilícita, enriquecimento ilícito, explica Miguel Pereira Neto, advogado de Direito
(34:52) Empresarial. Vou citar direitinho o nome da Beatriz, que é Beatriz Allia Colim, foi a primeira advogada que se manifestou aqui. Segundo Neto, que é o segundo advogado, essa etapa de avaliação de consequências criminais só deve acontecer depois que o banco em questão apurar as causas e movimentações suspeitas. Criadora de conteúdo de advocacia, Jéssica Andrade, respondeu no TikTok a um comentário sobre o assunto. O seguidor afirma que ele
(35:31) e a namorada sacaram dezenas de milhares de reais na falha. Guilherme, num primeiro momento, mas eu não sou da área do Direito, para mim isso é uma vulnerabilidade, certo? Eu sei que não é isso, tu já me disseste que não é bem nessa linha, mas para mim é uma vulnerabilidade. O pessoal explorou uma vulnerabilidade num sistema pertencente a terceiro para ter algum ganho. Num primeiro momento eu pensei: “Nossa, isso aí
(36:05) não é invasão de dispositivo informático?”. Porque tu estás explorando uma vulnerabilidade para obter uma vantagem, está mais ou menos na descrição lá. Mas depois tu disseste que não era bem isso. É, eu discordo respeitosamente dos colegas que falaram. Não sei bem se é uma questão de furto ali, porque, mal ou bem – e aí, claro, a gente vai saber que foi “mal” no sentido de que as pessoas não tinham esse dinheiro –
(36:41) o dinheiro estava, de fato, na sua conta. Isso é diferente de eu, por exemplo, invadir a conta de outra pessoa para retirar os valores. Aí sim poderia ser um caso de furto. Mas a vulnerabilidade, se foi esse o caso, permitiu que eles, incorretamente, disponibilizassem o dinheiro na conta da pessoa. Então, me parece que esse caso seria um caso de apropriação indébita, que é o “apropriar-se de coisa alheia móvel de que tem a posse ou detenção”, do artigo 168. Só que a gente tem uma apropriação indébita específica que eu acho que se encaixa melhor nesse caso, que é a do
(37:25) 169: “Apropriação de coisa havida por erro, caso fortuito ou força da natureza”. “Apropriar-se alguém de coisa alheia vinda ao seu poder por erro, caso fortuito ou força da natureza”. Detenção de um mês a um ano. A pena aqui é menor, inclusive. A do 168 é maior porque leva em consideração justamente o fato da coisa ter vindo por um erro para o teu poder. Porque quando algo chega à tua posse por erro, ou se você encontra uma coisa que foi perdida, você tem o dever de devolver aquela coisa, seja para as autoridades ou tentar buscar o dono.
(38:08) Eu iria para essa tipificação aqui do 169 e não do crime de furto. Acredito que essa seria a resposta adequada. Agora, a gente também tem o problema ético, que acho que nem tem o que falar. Você não vai sacar milhares… O que você acha que aquilo ali é? Porque aí se encaixa no enriquecimento sem causa, que foi falado ali. Na verdade, enriquecimento sem causa no sentido de que todo aumento de patrimônio que você tem, você precisa demonstrar qual foi a origem.
(38:44) Não só para, eventualmente, quem se desfez daquele valor, como até mesmo para o governo. Se de repente aparece 1 milhão na tua conta, a Receita Federal vai querer saber de onde veio aquele 1 milhão. Aumento de patrimônio e tudo mais. Então, você ainda tem o aspecto aqui de, independentemente da ação penal, que é pública incondicionada até onde eu vi, o Nubank tem o poder de exigir civilmente o valor de volta. Então eu não me preocuparia tanto com o crime aqui, de um
(39:20) mês a um ano. De fato, os colegas têm razão, o cara não vai ser preso por isso, mas ele vai ter que devolver, evidentemente, o dinheiro. É óbvio, é lógico. É curioso pensar como as pessoas acreditam que teriam o direito de ficar com o dinheiro. Interessante pensar qual é o raciocínio, com base em que você pensa isso. Fazer o quê, né, Guilherme? Fico inclusive meio revoltado com isso, mas enfim. Duas notícias, Vinícius, para a gente ir terminando, também rapidinhas. A gente tem visto e tem criticado aqui ao
(39:56) longo dos últimos tempos o próprio uso que as farmácias fazem dos dados pessoais. Se me perguntassem qual é um dos grandes problemas que a ANPD vai ter que tratar, que o país como um todo teria que tratar no âmbito da proteção de dados, eu diria proteção de dados de crianças e adolescentes, sem dúvida, mas eu diria também proteção de dados de saúde e a relação que nós temos com as farmácias, cujas práticas ainda meio que continuam sendo realizadas. A
(40:31) novidade aqui é que a Comissão de Saúde da Câmara aprovou um PL lá de 2015, da deputada Alice Portugal, agora sendo relatado na Comissão de Saúde pela deputada Jandira Feghali, que altera a legislação sanitária para incluir a seguinte infração: violar o sigilo do conteúdo de prescrições médicas que estejam em posse de farmácias e drogarias, mediante a revelação do conteúdo dessas prescrições a outras pessoas, bem como pelo acesso e recebimento dessas informações pelos laboratórios farmacêuticos. Toda essa problemática que
(41:09) foi objeto de uma grande reportagem do UOL, que foi inclusive referida pela Feghali no relatório e que também embasou os nossos episódios 361 e 362. Inclusive fizemos um exercício lá, subindo alguns dados de prescrições médicas para a Inteligência Artificial tentar projetar o perfil com base nos dados. O relatório da comissão apontou que esse PL é anterior à LGPD, porque ele é de 2015, e eu achei interessante apontar que a LGPD, segundo o PL, seria insuficiente para impedir o repasse de dados de
(41:50) prescrição para os laboratórios. Eu não acho que seja o caso, acho que a LGPD consegue dar conta desse problema, mas fica a referência aqui que, caso isso passe, nós teremos barradas essas práticas de compartilhamento de dados das nossas prescrições com uma série de empresas, inclusive com as farmacêuticas. Um detalhe bem lateral, Vinícius, mas é outra coisa… a gente está ficando velho porque fica falando… eu já falei isso e fico bravo com as coisas que acontecem, fico frustrado com certas coisas que vão piorando, que é a coisa das
(42:29) reportagens não referirem números de lei e nem números de projeto de lei. O que custa aos jornalistas que nos escutam colocar o número do PL? Porque eu perdi um tempão para achar o PL, porque eles estavam falando sobre um PL sem dizer qual é o número. Poxa, então você tem dificuldade. “Foi aprovado um PL”. Qual PL? Achei muito interessante que nem a reportagem do UOL e nem o release da própria Câmara dos Deputados publicou o número. Porque, em geral, eles colocam lá embaixo “PL número tal” para você
(43:07) clicar e ver o texto, e eles também não fizeram isso. Então, fica aqui a reclamação, Vinícius. Registrada. Fica a reclamação registrada. Agora, o pessoal da Coalizão Direitos na Rede fez uma carta aberta sobre o caso Cortex, que nós também falamos aqui no episódio 378. Aquele sistema que o governo federal tem usado para organizar e concentrar dados de diversas fontes diferentes, inclusive de câmeras de monitoramento, dos cercamentos eletrônicos de algumas cidades, bilhetagem de
(43:55) ônibus. Ouçam lá o 378 para saber exatamente o que o Cortex faz. E eles fizeram um posicionamento bem interessante, mais ou menos naquela linha do que a gente falou, ou seja, convergimos com o pessoal da Coalizão Direitos na Rede. Mas um destaque que eu achei bem interessante que eles fizeram é que 1.478 pessoas não autorizadas tiveram acesso ao Cortex, o que teria ficado comprovado por meio de uma atuação da Polícia Civil do Distrito Federal.
(44:29) E que esses dados estão sendo usados para os mais variados crimes, inclusive crimes financeiros, que é o que hoje movimenta grande parte da bandidagem: golpe do PIX, motoboy, central de segurança, o golpe da portabilidade, mão invisível… A gente conversava sobre o que é “mão invisível”: aquele em que os caras te fazem instalar um aplicativo de acesso remoto. Aconteceu com uma conhecida minha. Pois é, você estava falando antes. E agora, inclusive, o pessoal lá do nosso grupo, um abraço para eles também, comentava um novo golpe
(45:14) que saiu nos jornais por aí, nos portais, melhor dizendo, que é o golpe da carteira de motorista cancelada. Você receberia um SMS muito convincente dizendo que a sua carteira vai ser cancelada, você clica lá no botão, cai num site do gov.br igualzinho, gera um QR code, paga lá um valor relativamente pequeno para não ter tua carteira cancelada, quando na verdade era um golpe. Faço essa referência aqui e faço a ligação com o primeiro episódio do Segurança Legal. Estamos falando sobre isso desde 2012.
(45:51) O primeiro episódio foi sobre consultas integradas e sobre o uso de dados desses sistemas governamentais para o cometimento de crimes. Então, isso ainda continua acontecendo, Vinícius. Perfeito, Guilherme. Café Frio e Café Expresso. Eu me esqueço que a gente tem essa do Café Frio e do Café Expresso. Eu vou mandar um Café Frio, Vinícius, e eu diria para os golpistas que estão usando o Cortex aí, e também para o próprio governo federal que tem permitido e não implantado medidas de controle de processo,
(46:33) de autorização, duplos níveis de autenticação, enfim, cercamentos de endereços IPs que poderiam ser acessados. Ou seja, tem coisas que podem ser feitas permitindo ainda que o uso seja feito. Esse é um outro problema, que eu acho que não deveria, mas imaginando que ele vai continuar sendo usado, pelo menos que se apliquem medidas de segurança de acesso e autorização para evitar esse empréstimo e venda de senhas desses sistemas. Meu Café Frio vai para alguém que vai se importar muito com o meu Café Frio, que é o Trump, por estar relaxando
(47:04) essas regulações envolvendo IA e outras questões de tecnologia em que ele vai se meter também, na contramão do que o mundo vem fazendo na preocupação de fazer com que a tecnologia seja utilizada de uma maneira adequada, que não cause prejuízos para os seres humanos. Meu café para ele. O Café Expresso, Guilherme, eu acho que o meu vai para o pessoal da Coalizão Direitos na Rede. Boa. Meu também, pela iniciativa. Você me salvou, eu não sabia para quem. Te salvei. Meu Café Expresso
(47:41) vai para a Coalizão Direitos na Rede. Um abraço para o pessoal. Bom, então está bem, Vinícius. E, pessoal, esperamos que tenham gostado do episódio de hoje e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
Neste episódio comentamos sobre o futuro da IA sob a gestão de Trump, o controverso sistema de vigilância Cortex e um bug no Nubank. Você irá descobrir os impactos da desregulamentação tecnológica e as consequências éticas e legais de falhas de segurança.
Guilherme Goulart e Vinícius Serafim aprofundam a discussão sobre o futuro da Inteligência Artificial com a eleição de Donald Trump e a prometida revogação da regulação de IA, analisando o papel de Elon Musk neste novo cenário. A conversa aborda a importância da segurança da informação e da proteção de dados ao examinar o sistema Cortex do governo e o recente vazamento de dados. Além disso, eles debatem a vulnerabilidade no Nubank, que levantou questões sobre crime cibernético e ética. Este episódio é essencial para quem se interessa por cibersegurança, privacidade e o impacto da tecnologia na sociedade, conectando as falhas de sistemas com a LGPD e o ethical hacking. Para não perder análises como esta, assine, siga e avalie nosso podcast em sua plataforma de áudio preferida.
ShowNotes
📝 Transcrição do Episódio
(00:00) [Música] Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 380, gravado em 22 de novembro de 2024. Eu sou o Guilherme Goulart e, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias do último mês, porque ficamos um mês sem gravar. E aí, Vinícius, tudo bem? Olá, Guilherme, e olá aos nossos ouvintes e internautas. Ficamos bastante tempo sem gravar por várias coisas. Teve Feriadão, que acabou gerando algumas viagens e alguns deslocamentos.
(00:38) Teve dois feriados. Tivemos um que caiu na quinta e outro que caiu na sexta-feira. Não, quarta e sexta. Depois, tivemos mais algumas coisas. Bom, acabou que tudo isso, em mais algumas situações, se juntaram para não gravarmos por um mês, praticamente. Mas estamos de volta. Estamos de volta aqui para partilharmos este momento de conversa sobre algumas notícias que nos chamaram a atenção, desta vez, tomando um café de verdade. Eu estou aqui com a minha caneca do Segurança Legal.
(01:16) Está com um quebradinho aqui, Vinícius, mas está valendo. E eu estou com o meu negócio de Segurança Legal. Tu ganhou um desses, não ganhou? O quê? Pera, não estou vendo. Sim, tu tens um desses ou não? Tenho. Não, não tenho. Eu tenho o adesivinho ali. Aliás, neste final de ano, vamos nos comprometer publicamente agora: vamos sortear umas canecas. No final de ano ou início do próximo. Vamos ver, que a coisa tende a ser meio conturbada agora.
(01:55) Neste último mês e meio que temos pela frente. Se você quiser, mande uma mensagem lá no [email protected], no Mastodon no @[email protected] e também no Bluesky @segurancalegal.bsky.social. O Guilherme, o direitodatecnologia.com, que sou eu, e o Vinícius é o @vserafim.
(02:28) E claro, sempre sugerimos que você apoie o Segurança Legal lá no apoia.se/segurancalegal. Escolha uma das modalidades de apoio. Principalmente, você estará envolvido num projeto livre, desimpedido, Vinícius, de produção de conhecimento e de informação. Agradecemos, é bastante importante. Você também consegue ter acesso ao nosso grupo de apoiadores lá no Telegram. Acesse o blog da Brown Pipe. A Brown Pipe também é uma das mantenedoras deste podcast, melhor dizendo. Então, você acessa o site da Brown Pipe para ver os serviços que ela presta.
(03:05) E também o mailing e as notícias do blog, que você pode receber. Vinícius está mostrando aí algumas das notícias da última semana. Você também consegue nos assistir lá no YouTube. Os nossos rostinhos bonitos estão lá à disposição e você pode ver os episódios passados, vídeos que o Vinícius grava com alguns tutoriais e tudo mais. É isso, Vinícius. Isso aí. Vamos para a mensagem de ouvinte. Vamos ver a mensagem que o nosso querido amigo Ricardo Berlim mandou sobre aquele episódio em que falamos sobre os celulares nas escolas.
(03:48) Inclusive, esse tema tem evoluído, Vinícius, com uma evolução de projetos de leis e de leis nos estados. Fizeram uma reportagem no Fantástico há umas duas semanas também. Eu também não vi, vi que saiu, mas não cheguei a assistir. Mas basicamente ele estava numa sala de aula com as crianças mexendo no celular sem parar. Bem-vindo ao mundo dos professores. O Ricardo Berlim diz o seguinte, se referindo à pesquisa que falamos no episódio 378: quanto à pesquisa sobre o uso do
(04:22) celular por crianças, acho que os dados fazem sentido. Muitos pais, como eu, deram celulares para as crianças durante a pandemia a fim de suprir uma carência de interação e viabilizar a participação em atividades escolares e hoje se arrependem. Acho que isso ajuda a explicar por que tantas crianças têm celular e, ainda assim, tantos pais gostariam que elas não tivessem. Em nosso caso, aqui em casa, tentamos deixar regras bem estabelecidas, usamos o controle parental do Google. Fica aí uma dica de episódio, ele diz, para tentar ter algum controle de tempo e conteúdo.
(04:51) Infelizmente, no computador que eles também têm acesso, o Linux não dispõe de ferramentas tão eficientes, mas ainda assim mantemos algum controle. Temos regras como: nada de aparelhos na mesa durante almoço e jantar; os dispositivos devem ser usados ou deixar de ser usados até às 20 horas, com exceção de ouvir um ou dois episódios do podcast infantil para ajudar a embalar o sono. Ou também, por que não ouvir um ou dois episódios do podcast Segurança Legal? As crianças vão gostar também. E a parte mais difícil: tentar
(05:22) estar à disposição das crianças quando elas querem fazer uma atividade offline, o que também ajuda a fazer com que a gente se desconecte. Mas a vida moderna… A mais nova, de 1 ano e meio, já quer pegar o celular quando fazemos um vídeo com os avós que estão longe ou para pedir a infame Popó, que seria, diz ele, a tal da Galinha Pintadinha. Um grande abraço. Abraço, Ricardo. E aí, Vinícius? Eu tenho um comentário: Ludovico Einaudi. Conhece Ludovico Einaudi? Os meus dormem muito bem ouvindo “Experience”
(05:54) do Ludovico Einaudi, então fica a dica de usar o Ludovico Einaudi para botar as crianças para dormirem. De fato, o que ele coloca é bem relevante, principalmente, eu sinto muito na questão do offline, Guilherme. Porque no momento em que tu desligas a TV… Os nossos não têm celular, nenhum deles, nem o mais novo nem a mais nova. Já pediram algumas vezes, mas a gente explica por que não damos, como eu comentei naquele episódio, e continuamos não dando.
(06:30) Mas acabamos batendo na questão da TV. E é muito claro, muito perceptível: quando tu desligas a TV, eles buscam atividades offline. Estar disponível é, muitas vezes, uma dificuldade. Porque de tarde, por exemplo, agora à tarde nós estamos gravando. O meu maior está aqui, está em casa, tem atividade até um certo horário e agora está livre, está lá grudado na TV. Já vi que ele está na TV. Mas, nesse momento, eu não posso estar lá com ele. Então, tem essa coisa de estar junto, fazer
(07:10) offline, ela demanda mais dos pais. Aqui, a gente investe bastante em jogos de tabuleiro, coisinhas, jogos simples para jogar com a menor, mas não adianta. Ter filhos é ter uma dedicação a eles, para além de simplesmente nutri-los e educá-los, dando educação formal na escola. E eu entendo bem o que o Ricardo está colocando. É realmente delicado, mas é necessário. E quem sabe o Harari, que escreveu o livro “21 Lições para o Século 21”,
(07:57) coloca que uma das questões que talvez seja mais valorizada no futuro, inclusive remunerada, seja esse tempo de cuidado com crianças. Mas a gente sabe muito bem que tem países hoje que nem sequer dão licença remunerada para os pais que acabaram de ter filhos, imagina para educar. Quem sabe seja no futuro, mas é bem isso, Ricardo.
(08:38) É bem delicado, as pressões são bem grandes, como a gente comentou naquele episódio. Tá bom. Feito. Um abração, Ricardo. Obrigado pela mensagem. Abraço, obrigado. E esse tema vai voltar. A questão de educação… Ontem eu estava falando com a minha esposa que ela está fazendo uma cadeira aqui no Instituto Federal, no mestrado de Educação, e ela está trazendo uns livros bem interessantes. Depois vou ter que te mostrar, Vinícius, fica para um próximo episódio, mas de algumas pessoas que estão, de fato, pensando.
(09:09) E esses insumos que a gente tem da Faculdade de Educação são interessantes. Não é nossa área, mas tem gente muito legal pensando o uso dessas tecnologias. Para o ano que vem, vamos voltar a falar sobre esse tema, que é um tema de bastante interesse da minha parte. Vinícius, vamos falar então sobre Trump, Donald Trump. Poucas pessoas se lembram, eu falava sobre isso com o Vinícius, nem ele lembrava. São 380 episódios, de fato, às vezes tem coisas que a gente não lembra, mas lá em 2016 nós gravamos um episódio, que eu confesso para vocês, também não tive
(09:48) tempo de ouvir nem revisitar o show notes que a gente deixa guardado, mas fizemos algumas previsões lá com a primeira eleição do Trump em relação à tecnologia de maneira geral, que é o nosso interesse aqui e o interesse deste podcast: tecnologia, sociedade, segurança da informação e agora IA. Só lembrando, nesse episódio tivemos o Diego Canabarro, nosso querido conterrâneo e amigo. Se ele estiver nos ouvindo… Ele participou com a gente lá em 2016.
(10:21) Qual é o tema agora? Enfim, quando fizemos aquela gravação em 2016… Trump foi eleito nesse último mês que ficamos sem gravar. Uma das coisas que ele já havia se manifestado sobre, ainda em outubro, é que, porque lá nos Estados Unidos o presidente Biden teve uma Executive Order, que seria quase como um decreto presidencial, estabelecendo algumas regulações de IA. E veja,
(10:57) eram regulações… essa Executive Order não era nada demais, é meio que o consenso que nós temos no que diz respeito à regulação da IA, os controles, os guard rails que os estudiosos e as pessoas que lidam com esse tema têm quase como um consenso, por exemplo, regras éticas, de segurança e tudo mais. O Trump agora se manifestou dizendo que, abre aspas, “vamos revogar a perigosa ordem executiva de Joe Biden que impede a inovação em IA e impõe ideias radicais de esquerda ao desenvolvimento dessa tecnologia”. Essa Executive Order, na verdade,
(11:35) não tem nada de extrema-esquerda, é uma norma, como eu disse, de regulação de IA. Fala sobre aspectos éticos, segurança da informação, proteção de dados, privacidade. E aí, talvez o que tenha preocupado o governo Trump e o Trump de maneira geral são aquelas regras de promoção de equidade e para evitar a discriminação e os vieses discriminatórios, além de proteção de consumidores, que é um dos grandes temas hoje quando falamos em IA, seja pela via dos dados com que você treina e tudo mais. Mas existem dezenas ou
(12:09) centenas, talvez milhares de estudos que convergem no sentido de demonstrar os riscos e, não somente os riscos, mas as comprovações dos mais variados vieses que os modelos acabam tendo, seja pelos dados de treinamento, seja pela forma como são treinados, falta de medidas para conter certos comportamentos. Basicamente, o que eles acabaram dizendo é que a intenção com a revogação dessa ordem, que é o que deve acontecer, é que a IA se desenvolveria somente com base na proteção da liberdade de expressão e no
(12:45) bem-estar humano. O mais interessante é que essa ideia de buscar liberdade de expressão e bem-estar humano não é incompatível com as regras dessa ordem executiva. Pelo contrário, parece que essas regras buscariam justamente o bem-estar humano. Sim, bem-estar humano sim, liberdade de expressão também, mas a gente sabe que o governo Trump e outros governos… Os Estados Unidos até têm uma visão, uma compreensão da liberdade de expressão bem diferente da nossa aqui, mas
(13:21) tem-se uma interpretação um tanto quanto exótica da liberdade de expressão, como se ela servisse para, por exemplo, causar danos, cometer crimes. E a liberdade de expressão é um direito que encontra limites quando se choca com outros direitos fundamentais. Essa é uma visão mais europeia da liberdade de expressão. Eles também falaram que essas regras seriam “woke safety standards“. Esse termo “woke“, usado com bastante frequência pelo governo Trump e por aqueles que seguem mais ou menos essa linha mais trumpista…
(13:57) O The Beat, que foi o texto que a gente traz, essa notícia que lemos aqui, junto com outras coisas para falar sobre esse tema, disse que é impossível separar essa intenção de revogar essa ordem da participação de Elon Musk no governo. O próprio Elon Musk já teria, no passado, criticado o ChatGPT, chamando-o de “woke“. O Ted Cruz também teria chamado as regras do NIST, porque essa Executive Order fala sobre a aplicação de algumas regras do NIST, e até a criação delas, sobretudo para a questão de
(14:32) segurança. Então, o Ted Cruz chamou algumas regras do NIST de “woke AI safety standards“, e que isso teria a intenção de controlar o discurso. Uma preocupação muito grande com o problema da liberdade de expressão, quando a gente sabe que a liberdade de expressão tem sido usada como desculpa até para a difusão de desinformação. E temos visto isso muito mais fortemente no X, depois da compra pelo Elon Musk. Então, basicamente, fica claro que eles estão se colocando contra medidas que impedem
(15:10) discriminação e desinformação. Esse é o ponto. Eles estão se colocando contra isso. E quando a gente olha no que o Twitter se tornou hoje, poderíamos correr o risco de que essa lógica do Twitter, do X, se projetasse também por uma falta de regulamentação da IA no mundo, com riscos, como eu disse, bastante previsíveis. No final das contas, o propósito deles seria relaxar essas regras para permitir que novas aplicações e novos desenvolvimentos da IA fossem realizados, fossem implementados, desprezando os
(15:47) riscos existentes e, ao mesmo tempo, favorecendo justamente uma indústria da qual o próprio Elon Musk faz parte. O Elon Musk também tem interesse num desenvolvimento de IA com a derrubada de certos limites e de certas questões que visam justamente proteger as pessoas. Esse é o consenso. Você conseguiria atingir mais rapidamente um lucro. E aí, quando você nega, sobretudo com IA… Acho que com qualquer tecnologia podemos falar isso, mas é bastante perigoso hoje, porque muitos dos usos de
(16:24) IA ainda possuem riscos inimagináveis. Nós não sabemos exatamente como isso vai se dar, por exemplo, na educação, que estávamos falando aqui antes. Então, quando você relega para segundo plano esses potenciais impactos negativos, podemos sim ter pessoas que certamente vão ser afetadas, sobretudo aquelas que já são discriminadas: grupos discriminados, pessoas negras, pessoas vulneráveis e tudo mais. No final das contas, Vinícius, o que também chamou bastante atenção é que isso tudo se vincula com
(17:01) o protagonismo que o Elon Musk vai ter no próximo governo. Ele vai ter um cargo numa comissão de eficiência governamental, que basicamente vai buscar uma desregulamentação. E aí tem um artigo, que vai ficar no show notes, da The Economist, que é insuspeita. Você não pode falar que a The Economist é “woke” ou de esquerda, bem pelo contrário. E ela coloca alguns riscos desse protagonismo do Elon Musk no governo que virá agora. Claro, ele entrou de cabeça na campanha. Quem acompanhou mais de perto viu a
(17:38) participação dele. Inclusive, foi feito um estudo, eu não trouxe aqui, que envolveu o próprio favorecimento de posts e do engajamento em cima de conteúdos que favoreciam o Trump. Foi feito um estudo que comprovou isso, depois se eu achar eu coloco aqui no show notes. E basicamente o risco que o The Economist está dizendo é que ele poderia favorecer mercados em que as suas empresas atuam, isso poderia prejudicar a concorrência e também um risco, acho que maior ainda, o fato de ele atuar em áreas que ele não tem
(18:11) conhecimento. Veja quem está falando isso é a revista The Economist. Lembrando, e aí quem fala agora sou eu, das peripécias do Elon Musk que foram contadas naquele livro “Character Limit” do Kate Conger e Ryan Mac. Quem viu, a gente falou um pouco sobre esse livro aqui. Mas, basicamente, a The Economist ainda termina dizendo que nós corremos o risco de, a partir de agora, se naturalizar este, e eles usam exatamente essa palavra, o conluio entre políticos e magnatas. E que foi uma coisa que, embora sempre tenha ocorrido, talvez com uma
(18:49) forma um pouco com mais pudor, agora se tornou despudorada. A olhos vistos, você consegue ver essa junção, esse conluio, nas palavras da The Economist, que pode vir a ser um problema, especialmente para a IA, que é o tópico do nosso comentário. Mas, a ver como essas coisas vão se desenvolver a partir de agora, Vinícius. Pois é. E o Elon Musk está processando, acho que pela terceira vez, a OpenAI e botou no mesmo saco agora a Microsoft também, com relação ao uso de Inteligência Artificial. Vamos ver o que vai dar isso aí. Quer pegar
(19:27) mais uma tua? Pode ser. Eu trago uma aqui. Já que eu citei agora o Elon Musk com Inteligência Artificial, eu vou pegar uma minha rapidinho aqui, que é da Microsoft. É algo que a gente já comentou em outros episódios. O problema hoje, não que seja o único problema da Inteligência Artificial, longe disso, mas um ponto importante é ter informação de qualidade para treinar modelos de IA. A notícia que eu trago rapidamente aqui é que a Microsoft fez uma parceria com a HarperCollins, que é uma
(20:11) editora. Ela detém vários títulos, e aqui eles citam várias vezes que são títulos de não ficção. Porque ficção, claro, é interessante também para treinar IA, mas não ficção é melhor ainda. A ideia é que eles vão ter acesso por 3 anos aos títulos para poder fazer treinamento de modelos de Inteligência Artificial ainda não definidos. Isso ainda não foi definido, que modelo que é, exatamente qual é o uso. E os autores poderão fazer um opt-in voluntário de ter as suas
(20:53) obras utilizadas nessa parceria entre Microsoft e HarperCollins. Claro que há várias… Aqui tem uma coisa interessante que eu queria citar: no início deste ano, o Google entrou em um acordo com o Reddit de 60 milhões de dólares para também usar os reddits para o treinamento dos seus modelos de IA. Certo? Mas vai pagar para os usuários do Reddit? Provavelmente não. Passa longe. Então, assim como o X fez mudança nas políticas para poder usar os posts para treinamento, ou seja, tudo que gera hoje
(21:35) dado orgânico… Vi uma outra esses dias: a Niantic está usando os dados do Pokémon GO gerados pelo jogo, com os usuários utilizando o jogo… Sim, Pokémon GO ainda existe. Utilizando esses dados para treinamento de modelos de IA. É um problema conseguir dados, dados de qualidade, principalmente orgânicos. Dados sintéticos têm sido utilizados para fazer alguns treinamentos e as últimas notícias é que não tem sido bom o resultado. Então, a Microsoft faz um acordo com a HarperCollins. Eu acho que a gente vai ver cada vez mais isso. Tem muito dinheiro
(22:18) sendo investido em IA e isso dá um poder de aquisição para as OpenAIs da vida, para o Google, Microsoft etc., botarem grana a valer em aquisição de bases de informações, datasets, para conseguir fazer o treinamento dos seus modelos de IA. Então, está aí a notícia, fica o link lá depois para o pessoal no nosso show notes. E tu tinhas uma de IA para encaixar com essa, não tinha? Não, eu só queria te dizer que tu falou sobre a mudança da política do X. A ANPD já convocou o Twitter, ou X, para
(22:57) explicar essa questão. Isso foi lá em outubro, eu acho, logo que eles fizeram aquela proposta da alteração de usar os dados das pessoas sem que elas pudessem fazer o opt-out. Eu acho até que a gente já comentou isso aqui no episódio passado, mas enfim, fica a referência. Na verdade, eu tinha uma aqui sobre a questão dos riscos. São duas: uma diz respeito ao problema dos riscos que comentamos antes, só retomando, porque teve um caso que envolve IA também, de um rapaz que
(23:32) começou a ter uma relação um tanto quanto complicada com uma IA que simulava personagens. Ele usou o Character.AI e lá tu podes criar um personagem como tu quiseres. Pois é. Um dos possíveis riscos no uso de IA são essas situações em que pessoas mais vulneráveis poderiam ter certas vulnerabilidades ampliadas ou trazer certos riscos até para a vida das pessoas. Então, nós temos isso também que se liga com um possível mundo em que
(24:14) você abra a guarda para a regulamentação. Você pode ter… claro, isso é um exemplo bem extremo de risco, não dá para se pautar por isso, temos que reconhecer, mas isso está acontecendo. Tem uma ação judicial lá nos Estados Unidos. Agora, aqui pelo Brasil, sobre este problema do treinamento, a gente sabe que há ações judiciais inclusive contra a Perplexity, e o New York Times tem uma… Inclusive, essa semana… O New York Times tem contra todo mundo. O New York Times está processando a OpenAI, está processando todo
(24:47) mundo. E a gente vai precisar de uma teoria, e eu tenho certeza que nós vamos precisar reinterpretar as próprias leis de proteção de direitos autorais ao redor do mundo. Porque me parece, não sei se é bem uma tese, também não sei se sou só eu que digo isso, mas essas novas projeções que a gente tem pela via do treinamento, ou seja, um novo uso que você faz de obras protegidas por direitos autorais para chegar a um modelo, me parece que isso também deve ser entendido como uma violação de direitos autorais. E se isto não é claro,
(25:24) nós vamos precisar alterar as nossas leis de direitos autorais para prever proteção em relação ao uso de IA. Qual é a notícia, então? Bem rapidinha: 99% dos sites de jornalismo no Brasil, disse o Núcleo Jornalismo, permitem o uso de conteúdo para treinar IA. Talvez o título seja um pouco enviesado, não é que eles “permitem” o uso de conteúdo, eles não dizem explicitamente que não pode. Ou seja, está lá e não tem nenhuma proteção contra. É, embora essa proteção a que ele se refira aqui também
(26:07) não é uma… você pode desrespeitar essa proteção, vamos lá, que é o robots.txt. O que é o robots.txt? Se eu falar errado aqui, Vinícius, você, que é da área mais técnica, me corrija. Mas é um arquivo TXT que fica na raiz de qualquer site onde você consegue dar algumas instruções, sobretudo instruções que envolvem a não indexação daquele conteúdo, caso você não queira que ele seja indexado. Então os crawlers, os robôs que ficam varrendo a internet, sobretudo do Google, dos buscadores, para usar um exemplo, passam pelo teu site, leem o robots.txt,
(26:42) veem que não podem indexar e seguem adiante. Por que eu digo que eles podem desrespeitar? Porque, na verdade, o robots.txt é um acordo de cavalheiros. “Eu quero passar, ler.” “Ó, não entra em tal lugar.” “Então tá, não vou entrar.” É um acordo de cavalheiros. O que o Núcleo disse? Que os jornais, e talvez pouca gente saiba, a gente já falou aqui no passado, as empresas de IA, para falar somente da OpenAI, elas também têm os crawlers que ficam varrendo a internet para treinar silenciosamente. Quer dizer, não é tão silenciosamente,
(27:21) porque você vê lá nos logs que o IP deles acessou. Mas se você entra lá na OpenAI e busca por “crawler”, “robots”, você vai encontrar as instruções dos endereços IPs lá para fazer o bloqueio, Vinícius. Estou te mandando o link aqui. E a notícia justamente é essa: que esses jornais, talvez por ignorância – aqui não ignorância do ponto de vista negativo, mas por não saberem que podem realizar esse bloqueio pela via do robots.txt. Estou carregando o site aqui, está com
(27:58) um probleminha… Não, agora veio. Deixa eu só compartilhar com o pessoal aqui. “Search bot”. Não, não é isso, Vinícius, eu te passei o link errado. Mas está aqui, user-agent, está certinho. Você inclusive pode bloquear, pelo que estou vendo aqui, o “search bot”, que é outra coisa, não é o crawler. É você impedir que a resposta do GPT use a pesquisa no teu site para produzir uma resposta. Seria um outro tipo de bloqueio.
(28:43) Perfeito. O que mais temos aí, Vinícius? Hoje a gente está um pouco mais rapidinho. É, eu tive que pegar uma pastilha aqui, senão vou começar a tossir e não vou parar. Vai lá. Eu vou compartilhar uma rapidinha, essa aqui é bem rápida, e na sequência pego a do Nubank. Para quem acompanha segurança da informação, principalmente coisa de pentest, saiu há poucos dias, no dia 20, na verdade, dois dias atrás,
(29:20) pelo menos a notícia no BleepingComputer, o Mitre compartilhou a lista que eles fizeram do Top 25 das fragilidades mais perigosas em software. É interessante, a gente tem o OWASP Top 10, que vai ser atualizado no ano que vem, 2025, já anunciaram, e tem essa lista do CWE, que é o Top 25 do CWE. Nessa lista, vou só citar alguns rapidamente, porque não deve ser nenhuma surpresa e nos chama a atenção porque continuamos encontrando esse tipo de
(30:00) vulnerabilidade nos softwares por aí quando fazemos pentest. Elas continuam aparecendo. Então: Cross-Site Scripting está em primeiro lugar. Velho e bom conhecido Cross-Site Scripting. Out-of-Bounds Write não é tão comum de se encontrar, mas, no geral, na pesquisa deles aparece com bastante frequência. Aí depois vem SQL Injection, um outro bem conhecido, já foi o primeiro lugar em outros momentos. Já foi primeiro. Mas é impressionante como SQL Injection ainda aparece nessas listas. Terceiro lugar, medalha de
(30:38) bronze. Está bom, de 25 está ótimo. Cross-Site Request Forgery (CSRF) é outro comum. Path Traversal, muito comum. Out-of-Bounds Read, nem tanto. Missing Authorization, que é a falta de controle de autorização. Então, autenticou o cara, mas não verifica se o cara deveria poder acessar alguma coisa. Injeção de código e por aí vai. A 14ª, que eu acho que poderia estar mais para cima, é Improper Authentication (autenticação inadequada).
(31:11) Tem muito problema de autenticação. Tanto que eu gravei um vídeo só sobre autenticação lá nos ao vivos do Segurança Legal, discuti só autenticação para desenvolvedores. E por aí vai o Top 25. Esse tipo de lista é interessante para quê? Quando você vai passar por um pentest, é bom se certificar de que, pelo menos, o que está no Top 10 da OWASP ou no Top 25 do CWE seja verificado nos seus sistemas.
(31:48) Porque esse aqui é o tipo de coisa que tende a ser mais explorado em um ataque. É só o que está na lista? Óbvio que não, mas aqui, como o próprio nome diz, é o Top 25. A outra notícia que eu vou trazer é com relação ao Nubank. E aqui tem uma coisa que me chamou a atenção, a gente acabou até discutindo um pouquinho sobre isso antes de entrar no ar. Deu um bug no Nubank que permitiu… O Nubank tem um esquema de saque de dinheiro nos terminais 24 horas. Se eu não estou
(32:26) enganado, é gratuito para os correntistas ou para o Ultravioleta, não sei. Mas tem lá para você poder sacar dinheiro, já que o Nubank não tem caixas próprios. O bug permitiu que correntistas sem saldo suficiente, ou sem o saldo correspondente, conseguissem sacar dinheiro nos Bancos 24 Horas. Resultado: um monte de gente foi sacar dinheiro. O bug foi informado no TikTok por duas pessoas que falaram… não sei se foram as primeiras que se deram conta, mas elas mesmas falaram que
(33:09) sacaram milhares de reais sem terem saldo na conta. Claro, a notícia é: o que tu fazes quando encontras uma oportunidade dessas? Exato, e vai para o TikTok. No TikTok. A notícia está no TecMundo. O pessoal foi lá e começou a anunciar, e a galera começou a ir para os bancos 24 horas fazer fila, inclusive de madrugada, segundo notícia do TecMundo, para sacar dinheiro que não estava na sua conta, que não existia na sua conta. Aí, Guilherme, isso aqui me chamou um pouco a atenção na matéria, até porque eles começam a trazer o que poderia acontecer. Até o título da
(33:48) notícia é: “Quem aproveitou o bug e sacou dinheiro ‘de graça’ pode ser preso?”. Esse é o título da notícia. A crise ética que a gente vive, que não importa se vai ser preso ou não, cara, tu não fazes isso. Mas tudo bem. Claro, tu não fazes isso. Exato. Sacar dinheiro após um bug é crime? Diz aqui: “De acordo com a advogada especialista em direito, a exploração de uma falha como a registrada pelo Nubank pode ser enquadrada como um crime de furto, previsto no artigo 155 do Código Penal, que prevê como pena de um a 4 anos de
(34:23) reclusão. Porém, isso não significa que os clientes que fizeram o saque podem ser presos.” Beatriz ressalta que, em casos como este, é possível que um acordo de não persecução criminal seja ofertado aos consumidores. Na prática, isso significa que os clientes podem evitar um processo e eventual condenação, possivelmente junto ao Ministério Público, a partir do retorno dos valores retirados. O correntista deve se sujeitar ao pagamento dos encargos pelos valores sacados, do contrário haveria vantagem ilícita, enriquecimento ilícito, explica Miguel Pereira Neto, advogado de Direito
(34:52) Empresarial. Vou citar direitinho o nome da Beatriz, que é Beatriz Allia Colim, foi a primeira advogada que se manifestou aqui. Segundo Neto, que é o segundo advogado, essa etapa de avaliação de consequências criminais só deve acontecer depois que o banco em questão apurar as causas e movimentações suspeitas. Criadora de conteúdo de advocacia, Jéssica Andrade, respondeu no TikTok a um comentário sobre o assunto. O seguidor afirma que ele
(35:31) e a namorada sacaram dezenas de milhares de reais na falha. Guilherme, num primeiro momento, mas eu não sou da área do Direito, para mim isso é uma vulnerabilidade, certo? Eu sei que não é isso, tu já me disseste que não é bem nessa linha, mas para mim é uma vulnerabilidade. O pessoal explorou uma vulnerabilidade num sistema pertencente a terceiro para ter algum ganho. Num primeiro momento eu pensei: “Nossa, isso aí
(36:05) não é invasão de dispositivo informático?”. Porque tu estás explorando uma vulnerabilidade para obter uma vantagem, está mais ou menos na descrição lá. Mas depois tu disseste que não era bem isso. É, eu discordo respeitosamente dos colegas que falaram. Não sei bem se é uma questão de furto ali, porque, mal ou bem – e aí, claro, a gente vai saber que foi “mal” no sentido de que as pessoas não tinham esse dinheiro –
(36:41) o dinheiro estava, de fato, na sua conta. Isso é diferente de eu, por exemplo, invadir a conta de outra pessoa para retirar os valores. Aí sim poderia ser um caso de furto. Mas a vulnerabilidade, se foi esse o caso, permitiu que eles, incorretamente, disponibilizassem o dinheiro na conta da pessoa. Então, me parece que esse caso seria um caso de apropriação indébita, que é o “apropriar-se de coisa alheia móvel de que tem a posse ou detenção”, do artigo 168. Só que a gente tem uma apropriação indébita específica que eu acho que se encaixa melhor nesse caso, que é a do
(37:25) 169: “Apropriação de coisa havida por erro, caso fortuito ou força da natureza”. “Apropriar-se alguém de coisa alheia vinda ao seu poder por erro, caso fortuito ou força da natureza”. Detenção de um mês a um ano. A pena aqui é menor, inclusive. A do 168 é maior porque leva em consideração justamente o fato da coisa ter vindo por um erro para o teu poder. Porque quando algo chega à tua posse por erro, ou se você encontra uma coisa que foi perdida, você tem o dever de devolver aquela coisa, seja para as autoridades ou tentar buscar o dono.
(38:08) Eu iria para essa tipificação aqui do 169 e não do crime de furto. Acredito que essa seria a resposta adequada. Agora, a gente também tem o problema ético, que acho que nem tem o que falar. Você não vai sacar milhares… O que você acha que aquilo ali é? Porque aí se encaixa no enriquecimento sem causa, que foi falado ali. Na verdade, enriquecimento sem causa no sentido de que todo aumento de patrimônio que você tem, você precisa demonstrar qual foi a origem.
(38:44) Não só para, eventualmente, quem se desfez daquele valor, como até mesmo para o governo. Se de repente aparece 1 milhão na tua conta, a Receita Federal vai querer saber de onde veio aquele 1 milhão. Aumento de patrimônio e tudo mais. Então, você ainda tem o aspecto aqui de, independentemente da ação penal, que é pública incondicionada até onde eu vi, o Nubank tem o poder de exigir civilmente o valor de volta. Então eu não me preocuparia tanto com o crime aqui, de um
(39:20) mês a um ano. De fato, os colegas têm razão, o cara não vai ser preso por isso, mas ele vai ter que devolver, evidentemente, o dinheiro. É óbvio, é lógico. É curioso pensar como as pessoas acreditam que teriam o direito de ficar com o dinheiro. Interessante pensar qual é o raciocínio, com base em que você pensa isso. Fazer o quê, né, Guilherme? Fico inclusive meio revoltado com isso, mas enfim. Duas notícias, Vinícius, para a gente ir terminando, também rapidinhas. A gente tem visto e tem criticado aqui ao
(39:56) longo dos últimos tempos o próprio uso que as farmácias fazem dos dados pessoais. Se me perguntassem qual é um dos grandes problemas que a ANPD vai ter que tratar, que o país como um todo teria que tratar no âmbito da proteção de dados, eu diria proteção de dados de crianças e adolescentes, sem dúvida, mas eu diria também proteção de dados de saúde e a relação que nós temos com as farmácias, cujas práticas ainda meio que continuam sendo realizadas. A
(40:31) novidade aqui é que a Comissão de Saúde da Câmara aprovou um PL lá de 2015, da deputada Alice Portugal, agora sendo relatado na Comissão de Saúde pela deputada Jandira Feghali, que altera a legislação sanitária para incluir a seguinte infração: violar o sigilo do conteúdo de prescrições médicas que estejam em posse de farmácias e drogarias, mediante a revelação do conteúdo dessas prescrições a outras pessoas, bem como pelo acesso e recebimento dessas informações pelos laboratórios farmacêuticos. Toda essa problemática que
(41:09) foi objeto de uma grande reportagem do UOL, que foi inclusive referida pela Feghali no relatório e que também embasou os nossos episódios 361 e 362. Inclusive fizemos um exercício lá, subindo alguns dados de prescrições médicas para a Inteligência Artificial tentar projetar o perfil com base nos dados. O relatório da comissão apontou que esse PL é anterior à LGPD, porque ele é de 2015, e eu achei interessante apontar que a LGPD, segundo o PL, seria insuficiente para impedir o repasse de dados de
(41:50) prescrição para os laboratórios. Eu não acho que seja o caso, acho que a LGPD consegue dar conta desse problema, mas fica a referência aqui que, caso isso passe, nós teremos barradas essas práticas de compartilhamento de dados das nossas prescrições com uma série de empresas, inclusive com as farmacêuticas. Um detalhe bem lateral, Vinícius, mas é outra coisa… a gente está ficando velho porque fica falando… eu já falei isso e fico bravo com as coisas que acontecem, fico frustrado com certas coisas que vão piorando, que é a coisa das
(42:29) reportagens não referirem números de lei e nem números de projeto de lei. O que custa aos jornalistas que nos escutam colocar o número do PL? Porque eu perdi um tempão para achar o PL, porque eles estavam falando sobre um PL sem dizer qual é o número. Poxa, então você tem dificuldade. “Foi aprovado um PL”. Qual PL? Achei muito interessante que nem a reportagem do UOL e nem o release da própria Câmara dos Deputados publicou o número. Porque, em geral, eles colocam lá embaixo “PL número tal” para você
(43:07) clicar e ver o texto, e eles também não fizeram isso. Então, fica aqui a reclamação, Vinícius. Registrada. Fica a reclamação registrada. Agora, o pessoal da Coalizão Direitos na Rede fez uma carta aberta sobre o caso Cortex, que nós também falamos aqui no episódio 378. Aquele sistema que o governo federal tem usado para organizar e concentrar dados de diversas fontes diferentes, inclusive de câmeras de monitoramento, dos cercamentos eletrônicos de algumas cidades, bilhetagem de
(43:55) ônibus. Ouçam lá o 378 para saber exatamente o que o Cortex faz. E eles fizeram um posicionamento bem interessante, mais ou menos naquela linha do que a gente falou, ou seja, convergimos com o pessoal da Coalizão Direitos na Rede. Mas um destaque que eu achei bem interessante que eles fizeram é que 1.478 pessoas não autorizadas tiveram acesso ao Cortex, o que teria ficado comprovado por meio de uma atuação da Polícia Civil do Distrito Federal.
(44:29) E que esses dados estão sendo usados para os mais variados crimes, inclusive crimes financeiros, que é o que hoje movimenta grande parte da bandidagem: golpe do PIX, motoboy, central de segurança, o golpe da portabilidade, mão invisível… A gente conversava sobre o que é “mão invisível”: aquele em que os caras te fazem instalar um aplicativo de acesso remoto. Aconteceu com uma conhecida minha. Pois é, você estava falando antes. E agora, inclusive, o pessoal lá do nosso grupo, um abraço para eles também, comentava um novo golpe
(45:14) que saiu nos jornais por aí, nos portais, melhor dizendo, que é o golpe da carteira de motorista cancelada. Você receberia um SMS muito convincente dizendo que a sua carteira vai ser cancelada, você clica lá no botão, cai num site do gov.br igualzinho, gera um QR code, paga lá um valor relativamente pequeno para não ter tua carteira cancelada, quando na verdade era um golpe. Faço essa referência aqui e faço a ligação com o primeiro episódio do Segurança Legal. Estamos falando sobre isso desde 2012.
(45:51) O primeiro episódio foi sobre consultas integradas e sobre o uso de dados desses sistemas governamentais para o cometimento de crimes. Então, isso ainda continua acontecendo, Vinícius. Perfeito, Guilherme. Café Frio e Café Expresso. Eu me esqueço que a gente tem essa do Café Frio e do Café Expresso. Eu vou mandar um Café Frio, Vinícius, e eu diria para os golpistas que estão usando o Cortex aí, e também para o próprio governo federal que tem permitido e não implantado medidas de controle de processo,
(46:33) de autorização, duplos níveis de autenticação, enfim, cercamentos de endereços IPs que poderiam ser acessados. Ou seja, tem coisas que podem ser feitas permitindo ainda que o uso seja feito. Esse é um outro problema, que eu acho que não deveria, mas imaginando que ele vai continuar sendo usado, pelo menos que se apliquem medidas de segurança de acesso e autorização para evitar esse empréstimo e venda de senhas desses sistemas. Meu Café Frio vai para alguém que vai se importar muito com o meu Café Frio, que é o Trump, por estar relaxando
(47:04) essas regulações envolvendo IA e outras questões de tecnologia em que ele vai se meter também, na contramão do que o mundo vem fazendo na preocupação de fazer com que a tecnologia seja utilizada de uma maneira adequada, que não cause prejuízos para os seres humanos. Meu café para ele. O Café Expresso, Guilherme, eu acho que o meu vai para o pessoal da Coalizão Direitos na Rede. Boa. Meu também, pela iniciativa. Você me salvou, eu não sabia para quem. Te salvei. Meu Café Expresso
(47:41) vai para a Coalizão Direitos na Rede. Um abraço para o pessoal. Bom, então está bem, Vinícius. E, pessoal, esperamos que tenham gostado do episódio de hoje e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
173 Listeners
Giro do Loop
91 Listeners
Tecnocast
42 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
45 Listeners
História FM
30 Listeners
Ciência Suja
19 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners