(00:02) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 357, gravado em 2 de fevereiro de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês um pouco do que ocorreu, Vinícius, num período um pouco maior de tempo. Olá, Guilherme. Olá aos nossos ouvintes. Pois é, cara, a gente tirou umas férias, inclusive do podcast. A gente acabou, no final do ano, não fazendo o tradicional episódio de final de ano em que fazemos uma retrospectiva e iniciamos o ano com café, que também não vamos fazer as
(00:43) nossas previsões. Este ano não vai ter retrospectiva nem previsões. Mas foi um período bom em que demos um tempo para fazer algumas outras coisas. Até porque manter esse ritmo de gravação… Normalmente já sofremos um pouquinho para manter toda semana, mas quando conseguimos fazer, é algo que dá uma puxadinha também. É bom dar um tempo. Não que a gente não goste dos nossos ouvintes e daqueles que nos seguem,
(01:15) por favor. A gente sabe que é ruim, nós também acompanhamos podcasts. Sim, quando param de gravar, falta o nosso podcast. Parece que estamos viciados naquilo. Eu sinto muita falta do Foro de Teresina, que acabou abruptamente. Pois é, e não surgiu nada no lugar. A gente vai preenchendo o espaço com outros, mas é uma pena. Eu sinto falta do pessoal do Foro. Pois é, a Thaís Bilenky, que eu estava ouvindo ontem, ela está no UOL agora. Pois é, eu a vi no UOL. Ela está no UOL, participando
(01:48) de uns programas diários que o pessoal faz de comentários políticos. E parece que o outro, como é o nome dele? O Toledo. Acho que ele também está com um podcast. Ele também está com um podcast, o José Toledo. E tem o outro, que eu gosto mais do que do Toledo. Esqueci o nome do outro de que gosto mais. Esqueci o nome, mas, enfim, de qualquer maneira, eu sinto falta. Eles estão no UOL Prime. O UOL Prime é um
(02:26) podcast do UOL. Ele já tem três episódios lá. O primeiro episódio é “Outra versão da Operação Escudo no Guarujá”; o segundo, “Como é namorar uma inteligência artificial”; o terceiro, “A era do recorde de calor e desastres ambientais”. Em cada um, ele entrevista, pelo que estou vendo aqui, uma pessoa diferente. Ele é um host que vai entrevistando pessoas. Ah, interessante, vou dar uma olhadinha hoje.
(02:58) Vinícius, para compensar, nós vamos fazer um episódio de seis horas, que nem o Xadrez Verbal. Sim, exato, seis horas, e vão assistindo aos pedaços. Não, está louco? Se eu fizer isso, minha esposa me chuta de casa. Vinícius e ouvintes, deixo eu dizer que este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção, tomando um café de verdade. Então, pegue o seu café e venha conosco. Para entrar em contato e enviar suas críticas e sugestões, é muito fácil: basta enviar uma mensagem para [email protected] ou, se preferir, também pelo @segurancalegal no
(03:29) Twitter e no Mastodon, @segurancalegal. [Música] O PicPay deixou de receber aquelas contribuições mensais, o que é uma pena, porque as taxas que eles cobravam eram bem melhores do que as de outros concorrentes. Então, hoje, para apoiar o Segurança Legal, você pode recorrer ao Apoia.se, que é o apoia.
(04:23) se/segurancalegal. E aí, como recompensa… Claro, a gente sabe que hoje, com a quantidade… Eu vi um cara falando esses dias na internet: “todo mundo tem um podcast hoje em dia”. Em nossa defesa, temos que dizer que o nosso podcast está aí há 11, acho que vai fechar 12 anos. Sim, vai fechar 12 anos. Nós começamos em 2012, então vamos fechar 12 anos. Se você gosta do nosso projeto, busque apoiar. É importante para a gente. Sabemos que tem a questão das recompensas e
(04:59) tal, tem o nosso grupo no Telegram. A gente até mexeu nas recompensas há um tempo, mas o objetivo aqui é você, de fato, apoiar um projeto de que gosta. Então, se você se sentir bem com isso, procure-nos lá no apoia.se/segurancalegal e escolha sua modalidade. E também, se quiser… “Ah, mas eu escuto vários podcasts, não posso sair apoiando todo mundo”. Beleza. Se não apoia o Segurança Legal, apoie algum outro podcast independente. É um tipo de mídia muito interessante. Lembrando que, quando você apoia um podcast, está
(05:36) garantindo que ele permaneça disponível e mais longevo, inclusive para aqueles que não apoiam, algumas vezes porque não podem, e têm acesso a informação de qualidade. É bem interessante. Quanto mais independente o podcast, melhor, porque você não vai, por exemplo, no Segurança Legal, nos ouvir te empurrando um produto ou coisa parecida porque alguém está pagando. Se tiver propaganda ou marketing, a gente vai dizer: “ó, isto aqui é propaganda”. Mas, fora isso, é sempre a nossa opinião independente sobre
(06:15) o que estamos trazendo, as notícias e os assuntos. E tem outros podcasts que fazem a mesma coisa. Então, se não apoiar o Segurança Legal, apoie outro independente, para manter essa mídia viva, já que ela está sendo cada vez mais cooptada pelos grandes grupos. É uma mídia meio de resistência, eu acho. Estou sempre falando isso aqui, não no sentido de te dar uma outra visão, mas que há podcasts de assuntos muito diferentes e com temas
(06:53) muito distintos, inclusive produzidos por pessoas… Tem podcast que o pessoal produz, monta com praticamente recurso nenhum, e dá sua voz, sua visão das coisas. Então, tem muita coisa interessante. Claro que as mais bem produzidas são as que têm grana por trás, não tem jeito, em que o pessoal é pago para fazer as coisas. Mas tem muita… É uma mídia bem democrática, nesse sentido. Acho que vale a pena mantê-la viva. Já que paga um serviço de
(07:32) streaming, cara, pague lá 10 pilas para um podcast que você curte. Era isso. Vinícius, eu acho que o meu áudio aqui está com ruído. Para mim está perfeito. Não, mas estou acompanhando aqui e acho que ele está com ruído, sim. Espere aí, tenho aqui um pequeno mecanismo no aterramento manual. No aterramento manual. Esse tipo de coisa é o que no áudio vai ser cortado. Mas quem está assistindo aqui no YouTube está vendo os bastidores. Não, mas vai ficar. E agora, até o meu… Ah, agora acho que melhorou. Eu realmente não
(08:28) estava percebendo. Acho que estamos com problema até no meu Audacity aqui, mas tudo bem. Qualquer coisa, você pode pegar a trilha de áudio aqui do vídeo, beleza? Que aqui está chegando limpo, não sei por qual razão, mas está chegando limpo. Vamos voltar. Vamos às notícias, então, Guilherme. Vamos às notícias. Vamos seguir nessa ordem, Vinícius: da espionagem da Abin. Vamos manter. Vamos falar rapidinho da questão do TST lá da Dinamarca e, aí, vamos fazer um alerta para a galera a respeito de uns golpes que o pessoal está aplicando. Então, mande bala. Não, você comenta do TST primeiro.
(09:06) Você quer que eu comece com a do TST? Isso, já fale do TST, ligeirinho. O TST, nosso Tribunal Superior do Trabalho, julgou uma ação envolvendo a justa causa de um bancário que acessou dados da ex-esposa. O Tribunal Superior do Trabalho confirmou essa dispensa por justa causa de um empregado do Banco do Brasil que acessou os dados cadastrais da ex-esposa, que era funcionária da mesma instituição e também foi demitida pela mesma razão. Havia um conflito entre eles para revisão de
(09:45) pensão alimentícia. Então, eles se utilizaram dos acessos que já tinham para acessar, pelo visto aqui, os dados uns dos outros. O caso chega até o Tribunal Superior do Trabalho no sentido de revisar a decisão anterior, que tinha decidido que não era uma causa suficiente para justa causa o acesso de dados de outra pessoa. Chega no TST, e o TST diz: “Não, espere aí. É, sim”. Porque, veja, você está violando tanto o sigilo bancário da outra parte como também… aqui não foi levada
(10:23) em consideração, mas tem reflexos na própria LGPD. Porque, ao permitir que funcionários façam isso, você teria aí uma potencial, não, teria uma violação aos dados pessoais da pessoa que teve seus dados acessados de forma não autorizada. Olhando friamente, não importa a relação dos dois. Friamente, são dois funcionários de uma instituição bancária, uma instituição financeira, no caso, um banco. E eles abusam, usam do acesso que têm para realizar as suas funções,
(11:07) abusam desse acesso para uma causa que está fora das atribuições, fora das necessidades da realização do trabalho deles, da função deles. Agora, se um atingiu o outro ou se foi tiro cruzado, um fez a mesma coisa com o outro, isso é outro problema. A rigor, um é funcionário, o outro é cliente; depois, o outro é funcionário, e o primeiro é cliente. Acabou, não tem história. No momento em que você abusa desse acesso que tem para fazer algo que não está relacionado ao seu trabalho, à sua função, à execução das suas atividades, e faz isso violando o
(11:51) sigilo bancário, o sigilo financeiro e os dados pessoais, cara, se um banco não punir isso com justa causa e o tribunal não aceitar, então está liberado funcionário de empresas que têm acesso a dados ficar acessando os dados e repassando a terceiros para aplicar alguns golpes que a gente vai comentar rapidinho. A própria decisão também ressaltou que a proteção de dados é um direito fundamental. Isso foi, sim, levado em consideração. Há que se destacar uma questão: você tem
(12:30) situações em que o sujeito viola o acesso. Não sei, há um tipo de violação em uma situação em que ele não tem o acesso. Aí é uma quebra de segurança, que vamos comentar em seguida. E a outra situação é o sujeito que possui um acesso autorizado, mas faz um abuso daquele acesso autorizado. Exato. E aí, a gente conversava antes, neste segundo caso, que foi o que aconteceu nesta decisão, se o sujeito tem o acesso autorizado, você pode, eventualmente, aplicar certas travas. Pode aplicar, por exemplo,
(13:07) situações em que o sujeito acessou muitas vezes uma mesma pessoa ou que ultrapassou um número de consultas, por exemplo. Podia estabelecer ali alguns gatilhos para disparar uma questão de auditoria. Mas, nesse caso, havia uma auditoria, pelo visto, e essa auditoria conseguiu identificar, imagino, que o sujeito havia feito esses acessos. Em certo sentido, a coisa funcionou, porque, se o sujeito viola um acesso que ele tem autorizado e posteriormente você descobre, o que resta é puni-lo de alguma forma.
(13:44) Eu vou citar rapidinho aqui o caso, e daí comento as duas coisas. Temos essa outra notícia aqui, Guilherme, que é na Dinamarca. A autoridade de proteção de dados dinamarquesa recomendou que se fosse multada em 2 milhões de euros a NetCompany, porque ela disponibilizou um serviço para acesso, entre outras coisas, à correspondência eletrônica, e também era possível fazer agendamento de consultas e algumas outras coisas mais. Tipo um hub de serviços que eles
(14:18) fizeram. E eles falharam em implementar controles de segurança para impedir acesso não autorizado cruzado, ou seja, você tem um usuário e consegue acessar os dados de outro usuário na plataforma. Isso aconteceu. Era possível, por causa de um erro na plataforma, que um usuário acessasse… Deixa eu aumentar um pouquinho aqui a fonte para o pessoal que está vendo no YouTube. Era possível, por causa de um erro, que usuários autenticados — bastava ter uma conta lá dentro — conseguissem ver o
(14:52) e-mail, a correspondência digital, o “digital mail” de outros usuários, inclusive ter acesso a informações sensíveis e confidenciais. E eles entenderam, a autoridade de proteção de dados dinamarquesa entendeu que essa NetCompany falhou ao implementar os controles de segurança minimamente necessários para evitar que alguém pudesse furar o controle de acesso de autenticação e autorização do sistema. E aí, citando isso e mais esse caso do TST, na questão do banco, nesses dois casos,
(15:32) a gente tem uma coisa interessante, que é o seguinte, que é o que você comentava: temos no sistema a questão da autenticação, que é identificar quem é a pessoa. Se o cara está autenticado, ele já foi reconhecido pelo sistema como sendo um usuário válido. Não autorizado, usuário válido, autenticado. Eu sei quem é o cara, é o Guilherme ou é o… E aí tem um segundo passo, que é: eu estou autorizado ou não a acessar determinada área do sistema ou fazer determinada consulta. Quando essas duas coisas funcionam, beleza.
(16:13) O risco que temos aí é de abuso de credenciais, abuso de um acesso que foi concedido regularmente, que é o caso do banco ali, dos dois funcionários que ficaram olhando os dados um do outro. Eles estavam autenticados e tinham autorização no sistema para fazer isso. Abusaram do acesso. A outra situação é essa da Dinamarca, em que havia autenticação, havia autorização, mas tinha um furo no sistema que permitia fazer um bypass na autorização e acessar coisas que você não
(16:50) tinha autorização para tal. Tem esses dois aspectos, e tem o que você citou no início: a outra situação em que você está autenticado, está autorizado, mas é essencial que se tenha a auditabilidade para saber quem fez o quê. Pelo visto, essa situação do banco tinha, porque o pessoal descobriu quem fez. A segunda coisa, que não se dá muita bola e o próprio Banco Central não se deu conta disso logo no começo, só para dar um exemplo, é a frequência de consulta. Tem sentido um recurso que é para consultar manualmente, fazer 1.000
(17:27) consultas por segundo? Não tem sentido nenhum ser humano fazer isso, a não ser que se automatize esse negócio, que foi o que aconteceu com o Pix. É uma coisa, você está lá, tem autorização para consultar o dicionário de chaves do Pix para saber qual é a chave do Guilherme. Agora, tem sentido, Vinícius, fazer 1.000 consultas por segundo, vendo se algum CPF é chave? Não tem. É necessário fazer também controle de frequência. O cara acessar os dados de uma pessoa, beleza. O cara acessar os dados de 10.000 pessoas em 5
(17:57) minutos, tem alguma coisa muito errada. Note que os controles que os sistemas têm que implementar vão além da simples autenticação e autorização. Tem que funcionar, mas tem que fazer controle de frequência, tem que ter auditabilidade. E, aproveitando, a BrownPipe justamente avalia isso quando faz pentest em sistemas. É uma das coisas que a gente avalia, ou quando faz modelagem de ameaça antes de implementar, a gente discute a situação, vê qual é o ambiente. “Olha, você tem que implementar esses recursos aqui”. Inclusive,
(18:28) nossos clientes são testemunhas, nós nos antecipamos à questão do Pix na época do Banco Central. Não sei se você lembra, antes de dar o pau no Banespa, antes daquelas “cacas” lá, a gente disse: “Olha, isso aqui é problema, tem que controlar a frequência, senão vai dar para consultar a chave adoidado aqui, e logo, logo o Banco Central vai se ligar disso”. E não deu outra, uma semana depois o Banespa deu “caca”. Então é isso aí, pronto. Lembrando também, Vinícius, duas coisas: primeiro, que essa notícia da Dinamarca você encontra lá no blog da BrownPipe. Então, quer
(19:00) ficar atualizado, acesse lá brp.com.br/blog. Vinícius, me ajuda. Se você não sabe… Eu vou abrir aqui e compartilhar com o pessoal agora, na hora: /blog. Você consegue ver essas notícias, inclusive temos um mailzinho semanal. Se você quiser ficar a par dessas notícias que acabamos produzindo, tem um trabalho semanal de repassar por autoridades de proteção de dados ao redor do mundo, feeds de notícia… Mas, só fazendo um paralelo, porque nós temos um outro, que já comentamos diversas vezes, sobre esses dois
(19:39) tipos penais aqui, que é inserção de dados falsos em sistemas de informação e modificação ou alteração não autorizada de sistemas de informações, crimes esses que só são cometidos por funcionários públicos. Estou fazendo um paralelo, não foi o que aconteceu no caso do TST. Só para fazer um paralelo, porque o crime de inserção de dados falsos, que é o 313-A do Código Penal, ele fala “inserir ou facilitar, o funcionário autorizado”. E o de modificação ou alteração não autorizada é “modificar ou alterar, o funcionário”. Ou seja, em uma situação eu tenho o sujeito que abusa, um abuso do acesso
(20:16) autorizado, e no outro é uma pessoa que faz um acesso não autorizado. Abuso de acesso autorizado é uma coisa, e acesso não autorizado é outra. E a lei pune o abuso no acesso autorizado com uma pena muito maior, de 2 a 12 anos. Por quê? Porque, se o sujeito é autorizado, ele goza de uma maior confiança, aqui no caso, pela administração pública, que, se violada, vai fazer com que ele tenha uma pena maior. Poderíamos fazer esse paralelo também ao analisar situações em que o sujeito é autorizado e viola o
(20:51) acesso autorizado, ou seja, depositou-se nele uma confiança, e essa confiança foi quebrada. Perfeito, Guilherme. Só falando rapidinho, como um serviço público que a gente diz, acho que é público, sei lá. Eu sei que você vai falar dos golpes. Sim, dos golpes. Tem um golpe que está acontecendo com frequência aí nos últimos dias. Talvez a gente tenha sido atingido só agora, mas percebo que começou a bater meio geral nas pessoas à nossa volta, que é a tal da ligação do reconhecimento da compra.
(21:25) Essa ligação é do banco X: “Foi feita uma compra no seu cartão no valor de tanto no Mercado Livre. Se você reconhece, pressione 1; se não reconhece, pressione 2”. Aí já é pescaria, porque, se você é cliente do banco, vai dizer 2. Já está dando a letra que é cliente. Se não é cliente, vai desligar. Você já dá a dica se é cliente do banco ou não. O cara fica apavorado, sei lá. Pode ser, mas em geral… “a do banco não sei o quê”, se não tem conta lá… Mas, se você tem conta, acaba
(21:56) respondendo. Aí, você entra numa central… Vários números diferentes, isso que é incrível. Como é que não pegam esses caras usando central de telefone com um monte de número? Ou os caras invadiram a central de alguém… Mas com mensagem gravada, tudo bonitinho, mudando o banco. Aí você fala com uma pessoa, e a pessoa tem os seus dados. Ela tem, pelo menos, o seu CPF, seu nome e renda. E renda. Então, se liguem, avisem os seus parentes próximos. Quem nos ouve provavelmente são pessoas um pouco mais ligadas nesse sentido, mas
(22:38) avise seus familiares e tudo mais para ficarem bem atentos com esse tipo de ligação. É razoavelmente bem-feito, e a pessoa tem as informações, o que torna mais fácil ela enganar quem entrar no esquema. Acabei respondendo para ver até onde a coisa ia, e, de fato, a criatura tem os dados. Este é mais um problema, sabe? Quando acontecem esses vazamentos de dados, tipo aqueles do CPF de todo mundo, nome, data de nascimento, que vazou… “Ah, vamos fazer
(23:17) uma notificação”. Depois a gente vai falar disso. Tem caso que é só notificação mesmo. Mas, gente, o prejuízo está feito. É a velha história: a pasta de dente saiu do tubo, você não tem como colocar de volta. Aí, esses dados ficam circulando por aí e são utilizados para golpes. Quando vaza de instituição financeira, de um birô de consulta, de empresas de enriquecimento de dados, isso é um problema para o resto da vida. Não é uma coisa pontual: “ah, vazou ali e já resolveram”. Não, já era,
(23:50) galera. Esse é o pepino. Por isso tem, realmente, uma multa de 2 milhões de euros aí. A Dinamarca está certíssima. É, levando em consideração que lá na União Europeia há uma grande discussão, que também ocorre aqui no Brasil, sobre a qualificação do dano pelo vazamento de dados. Nossos tribunais têm resistido a considerar o dano pelo vazamento de dados pessoais, embora a LGPD não faça essa diferenciação. Ou seja, só há dano se houver vazamento de dados sensíveis, por exemplo. A nossa jurisprudência tem caminhado para uma
(24:23) tendência de considerar que o dano haveria somente se houvesse o vazamento de dados sensíveis. A lei não diz isso. Sim, mas tudo bem. O que acontece lá na União Europeia, até vou ver se acho o link aqui para colocar… Considerou-se que o receio, o medo, e o seu estado de receio, dá para se dizer assim, de que algo possa acontecer com você pelo fato dos seus dados terem vazado, e você ficar nessa constante situação de “Nossa, mas o que pode acontecer comigo?”, isso constituiria um dano indenizável
(25:06) na União Europeia. Uma tendência diferente do que está ocorrendo aqui no Brasil. Esse tipo de coisa pelo qual nós estamos passando deve ser repensado, eu acho, pelo nosso Judiciário, porque os danos… A coisa vai piorar, acho que esse é o ponto. Os golpes estão ficando cada vez mais bem elaborados. Não é mais só o SMS, é o sujeito que tem uma central telefônica, que liga para você com vários dos seus dados, inclusive a sua relação bancária, eles sabem os lugares onde você tem conta. Bem, adiante, o que vamos agora,
(25:53) Vinícius? Voltamos então para… Agora sim. Agora vamos à Abin. Pois é, lembrei bem do mesmo. Comecei a ouvir ontem. Bom, esse caso da Abin… O pessoal tem falado de “Abin paralela”. Eu acho que não é “Abin paralela”, é a Abin. Não é uma Abin paralela. Sim, já vi mais pessoas também chamando a atenção para isso: “não tem Abin paralela, é a Abin”. Isso, de fato, não é uma novidade. Nós já gravamos, inclusive, episódios aqui sobre a questão do monitoramento estatal, que vai e vem.
(26:34) Nós falamos sobre isso de vários outros países, e agora chega aqui no Brasil. O caso torna-se agora mais político do que já era. Por que vocês estão trazendo isso, se é um caso, entre aspas, político? Porque, na verdade, a questão da tecnologia, ao se entranhar cada vez mais na sociedade, faz com que os conflitos e os problemas sociais que enfrentamos passem também a ter a tecnologia envolvida. Não temos como falar mais sobre democracia, por exemplo, sobre
(27:08) regimes democráticos, sobre limites do Estado de Direito, sem abordar questões tecnológicas. É por isso que este tema está aqui no podcast. A novidade aqui seria o fato de ter se descoberto que sim, você tinha agentes públicos diretamente envolvidos no uso do FirstMile. É difícil de falar, né? Programa esse que foi comprado, essa ferramenta de espionagem que nós já destacamos, já falamos aqui tecnicamente. Se você puder pegar o número do episódio aí, Vinícius. Mas o fato, entre aspas,
(27:48) novo era que tanto Alexandre Ramagem, hoje deputado federal, que chefiou a Abin de 2019 a 2022, quanto Carlos Bolsonaro, que é vereador, mas filho do ex-presidente Bolsonaro, estariam envolvidos para utilizar politicamente essa ferramenta para vigiar diversas pessoas, inclusive ministros do Supremo, coisa que já se sabia. A operação da PF já tinha revelado isso, falamos também no nosso outro episódio. Mas o que fica claro agora… E, claro, depois houve operações da Polícia Federal, autorizadas pelo Supremo, no sentido de
(28:33) realizar buscas e apreensões, inclusive no Carlos Bolsonaro. Quem acompanhou o noticiário nos últimos dias deve ter visto os vídeos e toda a questão um pouco mais política de que o grupo político na época estaria, inclusive, vigiando e monitorando próprios aliados. É uma grande discussão, como eu disse, dos limites do Estado moderno, do Estado contemporâneo de direito, e como ferramentas como essas, que no caso do FirstMile exploram uma… não dá para dizer que é uma vulnerabilidade, mas explora uma coisa até meio tola, meio boba. É uma
(29:19) vulnerabilidade, Guilherme. É uma vulnerabilidade, o SS7. A gente comentou no episódio 352, viu? “Abin, monitoramento”. 352. E aí tem dois fatos interessantes, lembrei de um outro agora que a gente não tinha colocado. Enquanto eu falo aqui… O primeiro é que a notícia do UOL News, “Abin paralela: PF investiga se ferramenta para invadir computadores foi utilizada”. Ou seja, além do FirstMile, potencialmente teríamos aí o uso de outras duas ferramentas,
(30:05) Vinícius: o Cobalt Strike, que permitiria a invasão, e o LTE Sniffer, que permitiria “snifar” tráfegos em redes 4G. O que se está investigando agora, a PF está investigando, é se essas outras duas ferramentas estariam sendo utilizadas. Apenas para relembrar o caso para aqueles que não ouviram nosso episódio e querem ficar atualizados mesmo assim: o FirstMile permite a identificação da localização de certos telefones, o que não é pouco, é algo muito grave. Mas aí você conseguiria saber quem estava com quem, por exemplo.
(30:54) Isso pode envolver situações bastante… É o STF dos metadados. Não só nesse episódio 352 falamos sobre isso, mas já falamos sobre vigilância há muito tempo. Inclusive, desde o primeiro episódio. E do abuso desse tipo de mecanismo. Desculpe, Guilherme, termine. Senão, eu vou entrar. Vai lá. Beleza. Mas para pegar seu gancho: o primeiro episódio do Segurança Legal foi sobre o abuso no Consultas Integradas. O primeiro
(31:25) episódio, há 12 anos. Então, a gente fala sobre muitas coisas, porque é o centro da discussão da tecnologia hoje. Um dos aspectos é justamente este: o que os Estados podem fazer com as ferramentas de vigilância? Esse é um dos pontos. Eu até vi o Zanatta falando dias desses. Ele disse: “Ah, quero ver se escrevo um livro sobre o tecnoautoritarismo e sobre como o uso dessas ferramentas não se dá só em Estados, digamos assim, autoritários”. Embora nós tenhamos problemas na democracia
(32:03) brasileira, não sei se dá para dizer e comparar o Brasil com Estados reconhecidos hoje como autoritários. E o ponto dele, do Rafa Zanatta, é esse: ora, nós temos ferramentas como essas usadas em Estados ditos democráticos. E aí a própria visão do que é esse autoritarismo digital… Teríamos práticas sendo realizadas em todos os Estados. O Brasil entra agora de vez, eu acho, nesse estudo, no rol de países que têm utilizado isso. Mas acho que, independente de qual ala
(32:43) política está utilizando, e já comentamos isso também, quando você coloca uma ferramenta dessas em uso, ela vai servir a quem, no momento, está determinando o direcionamento dessas ferramentas. Isso pode ser ruim para algumas pessoas e pode ser ruim para outras. Hoje pode ser ruim para mim, amanhã pode ser ruim para você. Por isso é necessário que, no emprego desse tipo de ferramenta, se tenha um controle muito grande com relação a contra quem está se utilizando, para
(33:22) qual razão está sendo utilizada. São aquelas coisas… Por exemplo, vai grampear alguém? Vamos falar agora em termos fora de agência de inteligência. Tem uma investigação da polícia, cara, tem que ter uma autorização judicial para fazer isso. E, ainda assim, acontece sem. A gente sabe de algumas histórias. Então, o que é necessário, independente da ala de pensamento ideológica que está no momento direcionando essas agências, é ter
(34:00) mecanismos independentes de Estado que monitorem essas coisas. Só que isso é muito complicado, porque a própria natureza do serviço de inteligência é meio opaca. Mas tem que ter mecanismo de auditar esses caras, porque senão, hoje foi o governo Bolsonaro, amanhã pode ser o governo do Lula. A gente não sabe. Devemos levar em consideração que o que este governo passado montou e o que se descobre agora é uma organização criminosa para monitorar pessoas. Mas estou sendo meio anarquista aqui agora, no sentido de que, cara, o
(34:45) governo sempre pode. Tudo depende de como você enxerga e de que lado você acha que está. Por que “de que lado você acha que está”? Porque, quando você for atingido por uma porcaria dessas de forma injusta, obviamente não vai gostar, independente do governo que for, e pode ser muito prejudicado com isso. Então, eu acho que, independente do governo… Tá bom que esse abusou de uma maneira meio absurda, mas acho que esse tipo de coisa sempre pode acontecer. Olha o que aconteceu nos Estados Unidos,
(35:20) que foi denunciado lá em 2013, eu acho. Então, o que acontece em outros países, de gente sendo presa e não sei o quê… É muito complicado. Deixe eu só destacar uma coisa, e acho que isso é importante. Não sei se é importante… Tudo é importante. O Abujamra ia te dar… Se você tivesse tido a honra de ser entrevistado por ele no “Provocações”, ele teria te demolido. Esse tipo de prática não nasce do nada, é algo que vem sendo gestado.
(36:06) É o ovo da serpente, algo que já vem acontecendo em uma série de outras situações. Abusos judiciais, abusos policiais. Se você tem um contexto que permite que este tipo de coisa aconteça… Tanto que a ferramenta foi comprada no governo Temer, e um monte de gente, quando foi comprada, já destacou os problemas dessa compra. Sim. Nós vivemos em um estado de coisas que… Tá bom, esse é um problema, mas também temos que olhar para outros abusos envolvendo tecnologia, como reconhecimento facial para prisão de
(36:53) pessoas. Já teve essa semana, não trouxe aqui, mas outra pessoa foi presa por engano por causa de falha no reconhecimento. Essas coisas estão ligadas. Precisamos observar isso muito mais de perto. Esse é o primeiro ponto. E outro para a gente terminar: Vinícius, eu te mandei aqui uma outra notícia, não estava no nosso roteiro, mas me lembrei enquanto a gente falava. Descobriram agora, essa notícia não tem data no Estado de Minas. Dia 31 de janeiro: “TIM, Vivo e Claro sabiam de
(37:27) ataques por software”, a Anatel disse, e elas não notificaram a agência. Sim. Tá bom que elas sabiam, mas na verdade todo mundo sabia. Sabe-se há sei lá quantos anos dessa falha no SS7, perdão, no protocolo que permite essas perguntas para saber onde o sujeito está. Na verdade, todo mundo sabia. A questão é se eles, de fato, teriam identificado tráfegos anormais de dados ali, segundo está dizendo a Anatel, e teriam ficado em silêncio. Ou seja, eles não avisaram a Anatel. Tinha alguém intervindo no sistema de comunicação e os caras não
(38:13) disseram nada para a agência reguladora. Pois é, mas todo mundo sabe que isso é possível há décadas, eu acho. Há milênios. Os egípcios já sabiam disso. Nessa mesma linha, Vinícius, se a gente for seguir aqui a nossa ordem, mudando agora, mas não tanto assim, é o papel dessas empresas. Nós temos grandes empresas envolvidas nesse caso anterior, no caso, são as teles. E, claro, falamos no outro episódio também sobre como novas ferramentas e
(38:52) novas técnicas têm sido utilizadas para diminuir esse risco. Mas o fato é que nós temos sistemas sendo vendidos que exploram vulnerabilidades conhecidas no sistema de telecomunicações, que permitem esse tipo de coisa. Aproximando também um pouco sobre essa questão da própria… como a tecnologia interage com os regimes democráticos. A Polícia Federal diz que Google e Telegram manipularam informações em campanha contra projeto que regulamenta as redes sociais. Guilherme, deixe eu fazer um pulo aqui antes. Diga.
(39:24) Acabou pulando ali, eu esqueci de recomendar sobre o assunto da Abin o último episódio do podcast Pauta Pública, que é o 105. Está disponível. Acho que saiu ontem, não, saiu hoje, 2 de fevereiro, de madrugada. Ele saiu hoje. Estou seguindo com o pincel que uso para limpar meu computador, antes que alguém pergunte. É muito interessante, porque eles entram em mais detalhes sobre quem teria utilizado o software.
(40:00) A espionagem não é só a Abin. E o Caio de Freitas Paes é um repórter, um jornalista que apurou o uso desse software. Então, fica aí a recomendação. Agora, vamos lá para a PF. Ah, mas agora, deixe eu falar uma outra coisa. O pessoal fala às vezes: “Ah, que a espionagem atingiu 30.000
(40:19) pessoas”. Não, esse é o número de registros. Isso não significa que foram 30.000 pessoas. Significa que você teve 30.000, digamos assim, posições, e a mesma pessoa pode ter tido 100 ou 200. Pode ser. Isso não diz necessariamente que foi esse número de pessoas. Isso é bem importante de se falar, porque, se o sujeito está lá monitorando, como falaram, a Joice Hasselmann, por exemplo, eles podem tê-la monitorado e obtido posições sobre ela sei lá, centenas, dezenas de vezes.
(40:58) Então, não foi esse número de pessoas que o pessoal tem dito. Claro, não diminui a gravidade, mas se fossem 30.000, seria muito pior. Nem sei se tem 30.000 pessoas para esses caras monitorarem. Arranja. Pois é. Agora, você quer falar da PF. A PF, também numa outra investigação, descobriu, começou a investigar como essas empresas se posicionaram. Já tínhamos falado sobre isso em alguns episódios passados, na época, mas basicamente, eles
(41:34) encaminharam um relatório para o STF apontando o abuso do poder econômico. O que eles fizeram, e o que as investigações demonstraram, e na época meio que todo mundo já soube disso… A notícia agora é que isso se consolidou por essa investigação da PF. Eles até utilizaram um estudo que a gente também já falou aqui, da UFRJ, lá do Laboratório de Estudos de Internet, que basicamente mostrou evidências, agora reconhecidas pela PF, de que o Google apresentou resultados de busca enviesados para usuários que pesquisaram termos relacionados ao projeto de lei,
(42:13) apontando esse projeto como um “PL da censura”. Nós precisamos, seguindo a União Europeia, os Estados Unidos, como o mundo inteiro vem discutindo, lidar com a regulamentação das redes sociais. Porque, em 10 anos, em 15 anos… Mas, para usar o Marco Civil, que é de 2014, e portanto vai fazer agora 10 anos, nós vamos ter 10 anos de mudança nesse cenário de redes sociais que a gente precisa, de fato, alterar e regular a atividade delas. Não só para
(42:57) a questão de eleições, mas sobre a questão das crianças, sobre como lidar com esses materiais de empresas e negócios. Esse é um ponto importante: são negócios. Essas empresas são as maiores empresas do mundo não por acaso, porque são negócios que vendem publicidade e tudo aquilo. Nós temos um fluxo e refluxo envolvendo tanto tratamento de dados pessoais, mas como o poder que elas têm de regular conteúdo — regular no sentido de efetuar controle sobre conteúdos — e o que elas
(43:35) poderiam fazer até com a própria evolução da tecnologia. Em 10 anos, em 15 anos, o que hoje se consegue fazer até com inteligência artificial, com classificação de conteúdo, já mudou bastante. Nós temos tanto a questão de redes sociais, quanto a de proteção de dados pessoais, a relação disso com eleições, como a inteligência artificial acaba sendo utilizada, os controles que eles podem começar a utilizar, a forma que eles vão ter que lidar com conteúdos controversos, a questão das fake news, da desinformação, inteligência artificial sendo
(44:10) utilizada para fazer perfis falsos, o uso de perfis falsos, o uso de discursos de ódio. Ou seja, tem muita coisa para se regular. Eu tenho certeza de que hoje nós temos um espaço para discutir os limites de um eventual projeto de lei de regulamentação de redes sociais. Agora, dizer que isto é um “PL da censura” e que nós não devemos regular este âmbito da experiência humana, que são as redes sociais, diante de todos os problemas que temos visto… Por exemplo, crianças. A gente conversava, a gente até atrasou o início da gravação porque ficamos uma meia
(44:50) hora discutindo o problema que é… redes sociais. E já vou trazer isso aqui na sequência. Por exemplo… Fala aí que já entro nisso. É um negócio… Eu fico até… A questão de como as redes sociais, como o TikTok, têm influenciado na dinâmica das crianças. E aí você vai trazer a notícia lá dos americanos contra isso, da audiência nos Estados Unidos. É um negócio que, eu te confesso, me deixa até um pouco emocionado. Porque, cara, esses dias, para te dar um
(45:30) exemplo, até nem tinha te comentado, mas me lembrei agora: eu abri aquela ferramenta, o Kwai. Acho que é Kwai. Uma ferramenta de vídeos, eu não conhecia. E aí fui descobrir também, eu até não assisto, mas sem querer acabei descobrindo que o Kwai é uma das patrocinadoras do BBB. É tipo um Twitter misturado com TikTok. É mais para o lado do TikTok. E descobriu-se, eu também não tinha trazido essa, Vinícius, mas descobriu-se que o Kwai estaria envolvido em notícias falsas,
(46:20) acusado de espalhar fake news. Quatro dias atrás: “MPF investiga se rede social Kwai criou perfis falsos para divulgar fake news”. Estou investigando. E aí eu abri essa ferramenta para ver. Você abre, sem conta, e ela já começa a funcionar. Eu instalei o aplicativo, abri uma conta, sem me cadastrar, e ele já começa a te trazer vídeos. É inacreditável. Cara, é inacreditável. É absolutamente inacreditável o que me mostrou ali. Eu não vou nem comentar, sabe? Mas a natureza daquele conteúdo, cara… E para
(47:01) onde as pessoas estão sendo movidas, porque são pessoas comuns produzindo conteúdos. Muita sexualização, muita erotização. Agora, é muito interessante a contradição. A gente já vem falando desses dois assuntos: da questão da vigilância e da questão das crianças na internet, nas redes sociais. Se você olhar ao longo desses 12 anos de Segurança Legal, vai encontrar algum episódio “Crianças e internet”. Tem dois, fizemos dois na sequência. Não, tem um monte. Se for para achar todos… Você pode citar alguns aí, mas não vai achar todos. Vou
(47:41) falar: Episódio 350, “Criptografia de crianças e adolescentes online”, o mais recente, de 2023. “Exposição de crianças na internet”, de 2017, episódio 118. “Crianças na internet”, de 2015, episódio 80. E tem um que fizemos… fizemos o episódio um e dois. Teve um que fizemos na sequência. Teve “Internet e exposição de crianças” (118), “Internet dos brinquedos” (119) e “Segurança não é brinquedo” (120). Olha aí, tudo isso falando… “Baleia Azul” (124). O “Baleia Azul”, é verdade. Então,
(48:19) a gente já vem falando desses assuntos há bastante tempo. E onde… por que eu citei esses dois? Porque a contradição: essas mesmas pessoas que ficam gritando “censura” quando se fala de ter alguma regulação, alguma responsabilização das redes sociais, são as mesmas que depois ficam querendo que não se tenha criptografia para investigar os crimes. De um lado, você quer quebrar a segurança de todo mundo para, entre aspas, investigar crimes, mas leva a segurança de todo um ambiente para o lixo junto. E, por outro, não quer
(48:54) regular um dos principais meios de cometimento desses crimes, que são as redes sociais. Existe uma contradição nesse sentido. E por muito tempo se ficou sem uma regulação decente. Para quem fica dizendo “ah, mas nos Estados Unidos a liberdade de expressão…”, então, seguinte: acesse aqui o link que nós vamos deixar no show notes. Você vai poder assistir à audiência de um comitê do Senado norte-americano com relação a questões do Judiciário, especificamente a audiência sobre as big techs e a crise de exploração
(49:34) sexual de crianças online. São quase 3 horas de audiência. É muito interessante. Você adora ver essas audiências. Adoro ver essas audiências. Os caras vêm bem preparados. Os caras têm uma assessoria muito boa. Eu não vou usar a palavra que eu ia usar. A exceção daquele que perguntou se o cara tinha alguma ligação com o Partido Comunista Chinês. Sim, o cara… só porque tem traços orientais, o cara tem ligação com o partido comunista chinês. E o cara é de Singapura. E o cara dando risada,
(50:06) “cara, eu sou de Singapura”. “Não, mas você alguma vez se afiliou?”. “Eu sou de Singapura”. É como se ele falasse: “eu sou do interior de São Paulo”. Você pega um uruguaio, porque fala espanhol, ele entra no Brasil e você pergunta: “Você alguma vez teve alguma coisa a ver com o Nicolás Maduro?”. “Mas eu sou uruguaio”. “E com o Guaidó?”. “Eu sou uruguaio”. Mas, enfim, tudo bem. Nesse comitê, que foi de ontem, não, foi de anteontem, dia 31, estiveram presentes os CEOs
(50:47) do X (antigo Twitter), do TikTok… O Zuckerberg foi como fundador, ele foi voluntariamente. Foi um dos que foi voluntariamente, não recebeu nenhum ofício para obrigatoriamente estar lá. O cofundador e CEO também da Snap (Snapchat) e do Discord. Esses foram os cinco que lá estiveram. Não lembro qual deles, mas teve alguns que, inclusive, um dos senadores chamou a atenção, que teve que receber uma ordem judicial para virem, e inclusive com as despesas sendo
(51:30) bancadas pelo erário público, porque os caras não estavam querendo ir de jeito nenhum. Essa audiência foi muito interessante porque estavam presentes pais de crianças e adolescentes que cometeram suicídio por causa de ocorrências nessas redes. E inclusive, virou notícia quando um dos senadores sugeriu ao Mark Zuckerberg que ele pedisse desculpas, que olhasse para as famílias ali. As famílias levantaram naquele momento, e ele teve que encarar as famílias
(52:09) e meio que pedir desculpas. Se é real ou não o pedido, é outra história, mas ele foi colocado numa situação muito interessante e que viralizou. É uma das cenas que viralizou. Interessante você quer dizer “dramática”, né? Interessante no sentido de botar esses caras de frente com as situações pelas quais eles, em parte, são responsáveis por terem acontecido. Interessante nesse sentido, sabe? De fazer esses caras confrontarem as vítimas dessas situações. Deixa eu só te fazer uma pergunta. Nessa linha, não perca
(52:52) o que você ia dizer. Eu até peguei o testemunho dele aqui, que vi que dá para baixar, joguei no ChatGPT e pedi para ele fazer um resumo. Nesse resumo, Vinícius, ele ressaltou que sim, que eles estão tomando medidas e que levam em consideração a segurança e o bem-estar dos jovens, que têm 30 ferramentas e recursos para ajudar pais e adolescentes, incluindo controles parentais e tudo mais. E isso se verifica na realidade? Cara, aí que está. Existem algumas ferramentas. Mas, como um dos…
(53:26) Só lembrando, quem estiver querendo falar também de ideologia política, vai assistir à audiência, porque tem senador republicano e democrata batendo. Batendo violentamente. Um dos senadores mostra uma tela. Eles não usam um projetor, levam uns cartazes gigantes, uma tela que aparece quando se vai acessar conteúdo que pode conter pornografia infantil. Tem um alerta dizendo que pode ter conteúdo de pornografia infantil. Aí, tem um botão azul, grande, em maior destaque,
(54:05) que é “obter auxílio”, digamos assim. E um outro botão que é “seguir” ou “ver o conteúdo de qualquer maneira”. “Eu quero ver o conteúdo”. Aí, o senador diz: “Como assim, dá uma opção de ‘quero ver o conteúdo’? O que você estava pensando quando botou essa opção aqui, cara? Não tem opção. Se você desconfia que tem pornografia infantil, bloqueia o conteúdo e gera um alerta. Não dá a opção do cara acessar de qualquer maneira”. E aí ele começou a perguntar para o Zuckerberg:
(54:41) “Quantas vezes isso aqui foi apresentado?”. Aí ele começa: “Ah, posso ver com meu pessoal…”, aquela velha história. E ele: “Ah, vocês dizem que vão ver depois e não vão ver coisa nenhuma. E quantas vezes alguém clicou em ‘eu quero ver de qualquer maneira’?”. Eles realmente apertaram bastante os cinco. E existe, claramente, uma falta de controle. Os mecanismos não são suficientes, e os caras estão de má vontade. Para trazer um pouco da nossa conversa
(55:17) pré-gravação, eu te citei algumas situações. Por exemplo, eu tenho filhos, e tinha uma época que havia algumas coisas interessantes no YouTube que eu queria que eles vissem. Tinha o YouTube Kids, tem ainda. Mas eu pagava o YouTube Premium para tirar as propagandas. Chegou num ponto em que eu desisti. Bloqueei completamente o YouTube para eles. O YouTube para eles é quando eu estou junto. Porque, olha a natureza, o design do mecanismo do YouTube: eu posso dizer o que eu não
(55:56) quero que seja exibido, mas o resto, por padrão, é liberado, mesmo no YouTube Kids. Pois é, eu ia te perguntar sobre o Kids. Também. Eu tenho que ir marcando, tenho que ir tirando todos os que eu quero, porque, por padrão, vai aparecendo coisa nova lá. Eu não consigo, e não tem um mecanismo em que eu digo “nada é permitido, a não ser estes canais aqui”. Eu não posso fazer isso. Por que não? É impossível? Não, eu não posso porque o Google não quer. Dou outro exemplo: WhatsApp, da Meta. Criança usa WhatsApp. Claro
(56:27) que o que eu vou falar atinge todo mundo que usa WhatsApp, mas agora, imaginem o cenário com criança usando WhatsApp. O WhatsApp tem os grupos, e vira e mexe você é adicionado num grupo. Alguém te adiciona. “Ah, mas tem um controle”. Você vai lá nas configurações de privacidade do WhatsApp. Lá, pode dizer quem pode te adicionar em grupos. Quais são as opções? “Todos”, ou seja, quem é seu contato e quem nem é seu contato, não importa, pode te adicionar num grupo de
(56:57) WhatsApp. “Somente os contatos”, então todo mundo que está nos seus contatos pode te jogar no grupo que quiser. Ou “contatos, exceto…”. O que é o “contatos, exceto”? Tem que entrar lá e marcar todos os contatos que você não quer que te adicionem num grupo de WhatsApp. Sendo que, quando você é adicionado a um grupo, seu nome e seu telefone são expostos para quem está no grupo. E sabe-se lá quem está naquele grupo. Cadê a opção [Música] “ninguém”? Por que? E, experimentem fazer isso. Procurem a opção lá no WhatsApp. Quando você vai marcar os
(57:34) contatos que não podem te adicionar num grupo sem a sua permissão, quando você marca um, leva uns dois, três segundos até ele te liberar para marcar o próximo. Se você tem um monte de contatos, meu amigo, vai morrer marcando aquilo. Cadê a opção “ninguém” na privacidade? Não tem. Por design, os caras estão fazendo umas porcarias que expõem as pessoas, expõem os dados das pessoas e expõem, sim, crianças a esses abusadores sexuais. É muito sério. E aí, no início da audiência, quem não quiser assistir toda,
(58:15) acelere. Eu vou botar o link do próprio Senado lá. Você pode assistir em uma vez e meia ou em duas vezes. E vou botar o link também da Associated Press, do canal deles no YouTube, que eles botaram a audiência inteira, e ali no YouTube tem uns controles melhores. Mas, logo no início, eles colocam os testemunhos de alguns parentes de vítimas e de vítimas de exploração sexual na internet. E uma delas chama bem a atenção.
(58:50) Ela sofreu isso quando era criança, e os abusadores, anos depois, foram capazes de localizá-la na internet de novo. Aí eles chamam a atenção para a questão… A gente já falou também aqui. É claro que essas empresas têm responsabilidade, sem dúvida nenhuma. Mas os pais que ficam fotografando as crianças de biquíni, nuas, ou a superexposição das crianças pelos próprios pais… Estou dizendo, os pais fazem isso, botando na internet, e depois esse conteúdo vai
(59:27) parar em sites usados para exploração sexual infantil. Sem falar agora na IA, que está recém-chegando. Também tem responsabilidade. Não dá para ficar largando celular na mão de criança para elas ficarem no quarto, quietas, usando celular, ou na mesa do restaurante. É complexo isso. Sim, a gente precisa… Termine, desculpe. Sim, a gente precisa de algum tipo de regulação, de responsabilização dessas empresas pelo
(1:00:06) que acontece. Já passou o tempo de ter isso. Tem que ter. E elas têm que ser forçadas, nos seus projetos, por padrão, a auxiliar o “privacy by default”, a fazer esses controles. O WhatsApp tem que ter o “ninguém” lá. O YouTube tem que ter “nada é permitido, a não ser isso aqui”. Assim como as plataformas de streaming, Netflix, HBO, Discovery, têm controle de idade. Já é alguma coisa, já ajuda. E você ainda
(1:00:51) pode, no caso da Netflix, remover alguns títulos que não quer que sejam assistidos. Mas é um ecossistema, na real. Por que não dar a opção de eu dizer “não pode nada, a não ser estes aqui”, ou que a criança possa ver e peça “Pai, posso assistir a este aqui?”, e eu vá lá e libere. Por que não? Deixe eu só colocar, para contextualizar, o contexto dessa audiência é no sentido de que essas empresas sabem dos danos que estão provocando para as
(1:01:26) crianças. Não é uma questão de que elas não sabiam e agora souberam e vão aplicar medidas. Elas sabem dos danos. Como já falamos aqui, o próprio Facebook sabe dos danos que o Instagram… Hoje, o TikTok, o Kwai, como a gente tem visto, não menos importante… A própria ANPD, na nota técnica 6 de 2023 da Coordenação-Geral de Fiscalização, indicou que o TikTok não realizou controles suficientemente eficazes para evitar a entrada de menores de 13 anos naquela rede. E eu te digo,
(1:02:08) com as coisas que eu vi no Kwai, uma criança que entrasse ali e fosse utilizar, acho que o conteúdo seria bem inadequado. E, como eu disse, é uma questão de ecossistema. Você vai ter que verificar ainda e permitir… Talvez um dos caminhos seja os próprios sistemas operacionais. A gente precisa investir mais em controle parental também. Mas não é só isso. O controle parental no sistema operacional do celular não é o suficiente, porque muitas vezes a própria pessoa entrega o
(1:02:43) celular para a criança. São várias camadas, na verdade, o problema. A própria questão de como esses canais infantis lidam com a publicidade velada ou subliminar, e como certas práticas que são colocadas ali como se fossem normais… a criança que tem dez daquelas Baby Alives, bonecas caríssimas. E você naturaliza certas práticas que ficam insistentemente, porque a criança ainda tem aquela questão de ver, não só a criança, nós também, mas aquele
(1:03:18) comportamento repetitivo de ver o mesmo vídeo diversas vezes e ver aquele canal. E até mesmo o trabalho desses influenciadores. São muitas camadas de discussão aí. Sim, Vinícius. O que nós temos depois disso, que eu já me perdi aqui na lista? Temos a questão da ANPD, INSS e a sanção… Não, a sanção da Secretaria de Educação antes, eu acho, Vinícius. Deixe eu ver aqui… “ANPD aplica sanção à Secretaria de Educação”. Na verdade, não tem nada para projetar.
(1:03:57) Nossa Senhora, “projetar” é velho, né? Nós tivemos aí duas sanções aplicadas, levando em consideração que o regime de sanções aplicadas pela ANPD para órgãos públicos é um pouco diferenciado. Não pode estabelecer multa, conforme o artigo 52, parágrafo terceiro da LGPD. Então, fica pouco o que pode… Pouco não, ela pode, por exemplo, ordenar a cessação de uma atividade de tratamento, conforme o artigo 52. Deixe eu até pegar aqui. Artigo 52… Estava aberto, mas
(1:04:40) eu fechei. Eles podem: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados e eliminação dos dados. A multa simples e a multa diária, eles não poderiam aplicar para órgãos públicos. Então, sobram essas outras sanções. No caso aqui, a advertência. Esse caso da Secretaria de Educação é bastante interessante. Tem várias coisas aqui, vou dar uma resumida bem rápida. Basicamente, eles criaram um formulário lá no Google Docs que permitia, de forma
(1:05:15) inadvertida, que os dados dos resultados das respostas ao formulário fossem lidas por outras pessoas, entre outras coisas. Porque daí eles começaram a exigir da Secretaria de Educação, que foi meio leniente, deixou de, inclusive, cumprir as recomendações que a ANPD havia solicitado. Uma das coisas que se verificou é a necessidade de ter o registro da operação de tratamento como uma obrigação autônoma, que é o que diz o artigo 37 da LGPD. Essa
(1:05:52) atividade que nós, enquanto apoiadores de empresas nesse processo de adequação, fazemos, que é você construir um inventário de processos de tratamento de dados na sua instituição que permitam identificar o contexto daquele tratamento, essa atividade de registro de operações é uma obrigação. A ANPD está dizendo, como está na LGPD: “Você precisa fazer isso”. E isso é uma obrigação autônoma que não se confunde com os comunicados de incidentes de segurança, o que é óbvio. Ou seja, você tem a necessidade de realizar o registro das operações de tratamento,
(1:06:31) preferencialmente para cada tipo de processo, se for essa a sua abordagem, que eu acredito que seja a mais eficiente, e você precisa também fazer os comunicados. Eles falharam nisso. Falharam também em não apresentar, olha que interessante a relação com a segurança da informação, um plano de gestão de incidentes. Ora, se você precisa comunicar os titulares em casos de incidentes de segurança, e aqui no caso, outro problema, em uma situação que se verificou que você não tomou medidas administrativas, no caso, configurou mal o Google Forms,
(1:07:12) permitindo que se verificassem dados das pessoas que incluíram os dados lá, você ainda tem que manter um plano de gestão de incidentes. É óbvio. Se você tem que comunicar as pessoas, identificar os incidentes, tem que ter um plano de gestão de incidentes. Essas coisas ficaram muito bem definidas pela ANPD. Vou colocar o link da decisão, Vinícius. É um documento gigantesco, mas dá para separar só a parte da decisão, para deixar bem claro isso. Você
(1:07:54) precisa manter esses registros de operações de tratamento, precisa ter um plano de gestão de incidentes adequado, precisa realizar, quando solicitado, as verificações de risco, no caso, os relatórios de impacto de proteção de dados para os processos envolvidos e, principalmente, estar preparado para, caso você passe por um processo administrativo da ANPD, conseguir responder a essas demandas. Basicamente é isso. A ANPD, então, aplica essa sanção à Secretaria de Educação e,
(1:08:40) em um outro caso, para o INSS. E esse sim, Vinícius, nós temos ali no nosso blog. Vai ficar também o link para o despacho decisório. Mas basicamente, também houve uma exposição de dados e, nesse caso, a sanção foi a publicização. Ou seja, comunicar adequadamente no site e também no aplicativo Meu INSS, informando sobre o incidente e sobre as ações tomadas. Estamos vendo coisas acontecendo. Claro, nesses dois casos, a Secretaria de Educação e o INSS, com a limitação da imposição de
(1:09:25) multas. Mas, se fossem instituições de natureza privada, certamente, pela própria decisão, conforme conseguimos ver lá, e se vocês quiserem, depois verão isso, certamente seriam aplicadas multas. São infrações muito graves. Aqui, no caso da Secretaria de Educação, envolvia até dados sensíveis. Nesse caso, teríamos multa. Fica o alerta aí também para as instituições que estão se adequando ou, pior, que ainda não se adequaram, ou sequer estão pensando em fazê-lo. Posso falar do TOCTOU?
(1:10:04) O quê? TOCTOU. Que que é TOCTOU? É o tipo de vulnerabilidade que atingiu o Banco do Brasil alguns dias atrás. Manda lá. Vamos lá, essa aqui vai ser a minha última, eu acho. Acho que essa aí só. O que aconteceu, senhor Guilherme, há uns dias atrás? Saiu notícia de que tinha um pessoal fraudando… Deixa eu
(1:10:48) ver se consigo ampliar aqui para melhorar. Isso, ótimo. Aqui é do site do Converge Digital, o link vai estar no show notes, obviamente. Tinha um pessoal, de alguma maneira, tirando dinheiro do Banco do Brasil. O que aconteceu? Eles, por meio de pessoas dentro de prefeituras, emitiam como se fosse um boleto para pagamento, para auxiliar em alguma coisa, restauração da praça, não sei o quê. Estou chutando aqui. Uma coisa de um valor alto, 2 milhões, 3 milhões, 4
(1:11:29) milhões. Isso era registrado, entrava no sistema do banco para fazer o pagamento. E, vinculado a esse documento eletrônico, digamos assim, desse boleto, tem um código Pix, um QR Code. E o que acontecia? Aí vem a parte que para mim não está clara ainda: como eles faziam essa alteração lá no Banco do Brasil. O documento tem um valor de 4 milhões, ok. E era gerado um Pix, um QR Code, para que, quando fosse pagar aquele documento, se pagasse 4 milhões, que é o normal, o que se espera. Só que aí nós
(1:12:17) temos a seguinte situação: a informação está, entre aspas, duplicada. Você tem um valor registrado, imagine lá, no documento, de 4 milhões, e tem essa informação do valor a ser pago, de certa maneira, duplicada, codificada no QR Code. E o pessoal conseguia modificar. De alguma maneira, eles substituíam o QR Code, apenas, sem alterar o valor. Você tem duas cópias da informação, que é o valor a ser pago, e alterava uma das cópias da informação, que era o QR Code. Ao alterar o QR Code, eles botavam um valor como, por exemplo, R$1.
(1:12:55) Eles faziam o pagamento desse Pix por QR Code, e o banco registrava: “Olha, o QR Code foi pago, portanto o documento está pago”. Portanto, o dinheiro, 4 milhões, a ser passado para a prefeitura. Aí, o Banco do Brasil fazia a passagem desse dinheiro para a prefeitura. E, depois, os criminosos, mancomunados com gente da prefeitura e algumas empresas, davam um jeito de tirar esse dinheiro da conta da prefeitura e jogar nos seus próprios bolsos. Durou 24 dias o esquema. Como exatamente se alterava o QR Code, isso eu não sei. Não encontrei
(1:13:37) notícias que falam sobre isso. Mas uma coisa que é interessante é esse tipo de falha que a gente chama de TOCTOU, que é “time-of-check to time-of-use”. É quando você verifica a informação, está tudo certinho, verifica valor e tal, e diz: “Não, está ok, pode seguir adiante”. Aí, quando você vai efetivamente usar aquele recurso, no caso, o QR Code, não faz uma nova verificação. Você confia naquele momento em que ele foi gerado e vai lá e faz o pagamento. O exemplo clássico que se encontra de “time-of-check to time-of-use” no livro…
(1:14:19) Esqueci o nome dele. Tenho o livro… Putz, o livro está lá no escritório. Não é do Ross Anderson, é do… Cara, eu esqueci dele. Esqueci do livro, mas é um livro que a gente já indicou, em “Livros de segurança da informação”. Tem um episódio em que eu citei esse livro lá. Não está aqui comigo, está lá no escritório. Paciência. Mas o exemplo que ele dá é justamente esse: você chega para fazer uma compra num balcão, em dinheiro. Chega para o atendente e pergunta: “Quanto custa aquela térmica?”. Ele te diz: “Custa R$100”. “Então, tá bom, eu quero a térmica”. Aí, ele pega a
(1:15:00) térmica, e você larga o dinheiro no balcão. Só que você não larga R$100, larga R$50. E ele simplesmente não verifica. Ele te diz o valor no momento de conversar, mas na hora de receber, ele não faz a checagem. Esse problema acontece em várias outras situações. E os caras conseguiram tirar 21 milhões desse jeito do Banco do Brasil. A notícia do Converge Digital não cita o Banco do Brasil, gente, mas não estamos dando nenhum furo aqui, porque outros sites de notícias, desde o início, já apontaram
(1:15:34) que era com o Banco do Brasil. Aqui eles só falam “instituição financeira”, se eu não estou enganado. Falam “de um grande banco do país”, mas todo mundo sabe, tem vários sites de notícias que foi o Banco do Brasil. Então, não é nenhum furo que estamos dando aqui. É mais um tipo de vulnerabilidade que a gente encontra. Muito embora, repito, eu não tenha detalhes da exploração, de exatamente o que aconteceu. Se alguém tiver e nos passar, quem sabe dê conteúdo
(1:16:05) para a gente fazer um episódio falando mais detalhadamente sobre o caso. Mas, por enquanto, é isso que a gente tem. E chama a atenção esse tipo de falha. É algo bem interessante para um atacante. Certo. Tens mais alguma? Tenho, sim, que é a nova lei sobre cyberbullying. É isso aí, a Lei 14.811
(1:16:42) de 2024. Isso, 12 de janeiro de 2024. Poxa, naquela linha que a gente estava falando, sobre como reagimos… O cyberbullying… A gente já tratou mais sobre isso. Às vezes, a gente fecha os olhos para algumas coisas. Hoje, as pessoas só querem falar de Inteligência Artificial, mas nós ainda temos coisas acontecendo no cenário legislativo sobre isso. Eles trazem aqui, estou com a lei aberta, basicamente a criação de uma Política Nacional de Prevenção e Combate ao Abuso e Exploração Sexual da Criança e do
(1:17:19) Adolescente, mas também algumas alterações acerca de crimes. Por exemplo, o próprio crime de homicídio. Criou-se lá o parágrafo 2º-B, com aumento de pena se o crime for praticado em instituição de educação básica, pública ou privada. O homicídio praticado… Sabe aquela coisa que, infelizmente, começa a acontecer com uma frequência maior aqui no Brasil, de atentados em escolas? O sujeito vai lá e mata pessoas. Então, tem um aumento de 2/3 aí também da pena. Tem também o artigo 122, que é o
(1:18:12) induzimento, instigação ou auxílio a suicídio ou à automutilação. Incluiu-se o parágrafo 5º, ou seja, se o autor é líder, coordenador ou administrador de grupo, de comunidade ou de rede virtual, ou por estes é responsável. Acho meio complicado aqui essa questão, mas, aparentemente, eles estão querendo atacar até aquelas questões envolvendo o Discord, que passa a ser também alvo de atenção em face de certos grupos que se reúnem em comunidades muito prejudiciais por meio
(1:18:56) dessa via. Lembrando que o Discord é muito mais do que isso. Nós, inclusive, usamos o Discord para fazer a gravação, pela qualidade de áudio e vídeo dele. Depois, nós temos aqui o 146-A, que é intimidação sistemática ou bullying. “Intimidar sistematicamente, individualmente ou em grupo…”. E a intimidação sistemática virtual, que é o 146-A, parágrafo único: “Intimidar sistematicamente, individualmente ou em grupo, mediante violência física ou psicológica, uma ou mais pessoas, de modo intencional e repetitivo, sem motivação evidente, por meio de atos de intimidação, de
(1:19:36) humilhação ou de discriminação”. Esse é o bullying. E depois tem o cyberbullying, que tem pena de 2 a 4 anos. Essa é uma questão a que a gente deve voltar a falar aqui, porque eu creio que esses tipos penais estão meio mal elaborados. Eu conversava com uma professora de Direito Penal e de Processo Penal, amiga minha, minha colega lá no Cesuca. Inclusive, quero trazê-la aqui, Vinícius, porque, esses dias, a gente estava conversando, e ela já atuou em casos que envolveram questões de produção de provas digitais, a questão
(1:20:09) da polícia, delegados. Quero trazê-la aqui para ela dividir conosco essa experiência dela. E ela já disse que não gostou do tipo penal. Como eu confio no julgamento dela, vou na mesma linha também. A gente vai voltar a falar isso aqui. Também tem outros casos, a obrigação de escolas e empresas que lidam com crianças de manter dados dos funcionários, umas coisas ali que vão afetar a própria LGPD também. Mas, enfim, a gente já precisa ir terminando. Não sem antes dizer
(1:20:48) para você ficar aqui para acompanhar também os 10 anos no Segurança Legal. Nós terminamos tradicionalmente com o nosso café expresso e com o nosso café frio, Vinícius. Isso, café expresso. O café frio vai para as… Eu não tenho a menor dúvida, vai para as big techs que estão de má vontade com relação à privacidade das pessoas em geral e, em especial, com relação ao público infantil em suas plataformas. Esse é o meu frio. O meu, eu acho que te acompanho no café frio. E o meu expresso vai,
(1:21:21) de maneira geral, para o Estado brasileiro, Vinícius. Guardadas as devidas proporções, no sentido do que se está descobrindo. Ou seja, está se conseguindo levar adiante investigações para apurar a espionagem lá na Abin. Nós temos que ver como isso vai se desenvolver, mas eu acho que é um grande salto conseguir lidar com isso, diante de todos os problemas que nós temos. O Brasil está conseguindo levar adiante uma investigação que, ao que tudo indica, vai punir pessoas que realizaram espionagem por meios
(1:22:00) eletrônicos. Todas essas questões que já falamos. O meu café expresso é um café, eu diria, perdão, Vinícius, mas é um café expresso com reservas. Com reservas. O meu café expresso vai para os… Como a gente chama? Não é auxiliares, os senadores… Poxa, agora esqueci o termo. Tinha o termo na cabeça e agora… Os assessores. Os assessores que não aparecem, mas os assessores dos senadores norte-americanos que prepararam as informações, juntaram as coisas e
(1:22:35) municiaram seus senadores para que botassem na prensa as big techs. Claro que faltou gente lá, mas beleza. Os que estavam lá, estava joia para representar, pelo menos. E esses assessores fazem muito bem o trabalho deles. Já vi em outras situações, e os caras são faca na bota. Não sabemos quem são, não sabemos quantos são. Não estou dizendo que todos eles necessariamente sejam, mas, em geral, a gente vê que os caras têm
(1:23:08) informação muito boa na mão na hora que chegam lá para interpelar as testemunhas, ainda que venham testemunhar contra a vontade. Diferentemente do que ocorre aqui no Brasil quando a gente vê as CPIs. É, aqui, meu Deus, show de horrores. Melhorem essa assessoria aí. Vamos tratar desses assuntos. A gente já comentou sobre isso, não vamos iniciar de novo. É outro problema, é outro café.
(1:23:40) Outro café. Pessoal, então agradecemos, Vinícius, a todos aqueles e aquelas que nos acompanharam até aqui. Vamos ver se a gente consegue retomar o rumo e a frequência agora nesse ano de 2024. Feliz Ano Novo, dado em fevereiro. Mas está valendo, antes tarde do que nunca. E aguardamos todos vocês no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima. Beleza, então, deixa eu ir fechando aqui. Para quem está nos acompanhando no YouTube, já é 12:30.
(1:24:21) Estão batendo aqui na porta para sair e tudo mais. Tinha bastante notícia, bastante coisa aconteceu. Vamos acompanhar os desdobramentos dessas coisas todas aí para a frente. Você que está nos acompanhando no YouTube, continue agora ao longo de 2024. Comente nossos vídeos, dê os likezinhos. Não perca essas coisas. Vocês já sabem que isso ajuda e que isso é bem importante. Então, por gentileza, façam e compartilhem. Em 2024, estaremos direto no YouTube com os nossos episódios. Beleza, valeu, abraço. Abração, galera.
(1:24:57) Tchau, tchau.
