Esta semana começou com um estrondo e continuou assim. Nas primeiras horas da noite de sábado, o TikTok cortou o acesso aos usuários nos Estados Unidos antes do prazo de domingo que forçou a Apple e o Google a removerem o aplicativo de compartilhamento de vídeos de suas lojas de aplicativos. Enquanto o TikTok estava fora do ar, os usuários americanos correram para contornar a proibição do TikTok, enquanto vários outros aplicativos inesperados também tiveram seu acesso severado. No entanto, até o meio-dia de domingo, o acesso ao TikTok já estava voltando nos EUA. Na noite de segunda-feira, o recém-empossado presidente dos EUA, Donald Trump, assinou uma ordem executiva adiando a proibição do TikTok por 75 dias.
Na terça-feira, Trump cumpriu sua promessa de libertar Ross Ulbricht, o criador aprisionado do mercado Silk Road da dark web, onde os usuários vendiam drogas, armas e coisas piores. Ulbricht havia passado mais de 11 anos atrás das grades após ser preso pelo FBI em 2013 e posteriormente condenado à prisão perpétua. A decisão de Trump de perdoar Ulbricht é amplamente vista como ligada ao apoio que ele recebeu da comunidade libertária de criptomoedas, que há muito considera o criador do Silk Road um mártir.
À medida que o mundo entra na segunda era Trump, a WIRED sentou-se com Jen Easterly, que recentemente deixou seu cargo de diretora da Agência de Segurança Cibernética e Segurança de Infraestrutura, para discutir as ameaças cibernéticas enfrentadas pelos EUA e o futuro incerto da CISA como o vigia de linha de frente contra hackers de nações-estado e outras ameaças de segurança digital que os EUA enfrentam.
Por último, detalhamos novas pesquisas que revelaram como bugs triviais expuseram o sistema da Subaru para rastrear as localizações dos veículos de seus clientes. Os pesquisadores descobriram que poderiam acessar um portal da web para funcionários da Subaru que lhes permitia localizar até um ano de localização de um carro – até os locais de estacionamento que eles usam. As falhas agora foram corrigidas, mas os funcionários da Subaru ainda têm acesso a dados sensíveis de localização dos motoristas.
Isso não é tudo. A cada semana, reunimos as notícias de segurança e privacidade que não cobrimos em profundidade. Clique nas manchetes para ler as histórias completas. E fique seguro por aí.
Juiz diz que buscas controversas do FBI requerem um mandado
Um juiz dos EUA em Nova York descobriu esta semana que a prática do FBI de pesquisar dados de pessoas dos EUA sob a Seção 702 da Lei de Vigilância de Inteligência Estrangeira sem obter um mandado é inconstitucional. A FISA dá ao governo dos EUA a autoridade para coletar as comunicações de entidades estrangeiras por meio de provedores de internet e empresas como Apple e Google. Uma vez que esses dados foram coletados, o FBI poderia realizar “buscas de porta dos fundos” para obter informações sobre cidadãos ou residentes dos EUA que se comunicaram com estrangeiros, e o fez sem obter primeiro um mandado. O juiz DeArcy Hall descobriu que essas buscas requerem um mandado. “Sustentar o contrário permitiria efetivamente que a aplicação da lei acumulasse um repositório de comunicações sob a Seção 702 — incluindo as de pessoas dos EUA — que podem ser pesquisadas sob demanda sem limitação”, escreveu o juiz.
A função do Cloudflare pode expor a localização aproximada dos usuários de aplicativos
Um “problema” com a funcionalidade básica da rede de entrega de conteúdo da empresa de infraestrutura da internet Cloudflare pode revelar a localização aproximada das pessoas que usam aplicativos, incluindo aqueles destinados a proteger a privacidade, de acordo com descobertas de um pesquisador de segurança independente. A Cloudflare tem servidores em centenas de cidades e mais de 100 países ao redor do mundo. Sua CDN funciona armazenando em cache o tráfego da internet das pessoas em seus servidores e, em seguida, entregando esses dados a partir do servidor mais próximo da localização de uma pessoa. O pesquisador de segurança, que usa o nome Daniel, descobriu uma maneira de enviar uma imagem a um alvo, coletar a URL e depois usar uma ferramenta personalizada para consultar a Cloudflare a fim de descobrir qual data center entregou a imagem — e assim, o estado ou possivelmente a cidade onde o alvo está. Felizmente, a Cloudflare informou à 404 Media que resolveu o problema após Daniel reportá-lo.
Administração Trump dissolve conselho de revisão que investiga os ataques Salt Typhoon da China
Em um de seus primeiros movimentos após Trump assumir o cargo na segunda-feira, o Departamento de Segurança Interna demitiu todos os membros dos comitês consultivos da agência. Isso inclui o Conselho de Revisão de Segurança Cibernética, que estava investigando ataques generalizados ao sistema de telecomunicações dos EUA pelo grupo de hackers apoiado pela China, Salt Typhoon. As autoridades dos EUA revelaram em meados de novembro que o Salt Typhoon havia se infiltrado em pelo menos nove telecomunicações dos EUA com fins de espionagem, expondo potencialmente qualquer pessoa que utilizasse chamadas e mensagens de texto não criptografadas à vigilância de Pequim. Enquanto o futuro do CSRB permanece incerto, fontes contam ao repórter Eric Geller que sua investigação sobre os ataques do Salt Typhoon está efetivamente “morta.”