A WIRED relatou esta semana sobre registros públicos que mostram o Departamento de Segurança Interna dos Estados Unidos instando as forças policiais locais em todo o país a interpretar atividades comuns de protesto e a logística circundante—incluindo andar de bicicleta, transmitir ao vivo um encontro com a polícia ou andar de skate—como “táticas violentas”. A orientação pode influenciar os policiais a usar comportamentos cotidianos como pretexto para ação policial.
Um bot de contratação de IA usado no site “McHire” do McDonald’s expôs os dados pessoais de dezenas de milhões de candidatos a emprego devido a um grupo de vulnerabilidades de segurança baseadas na web—incluindo o uso da senha clássica e fácil de adivinhar “123456” em uma conta de administrador. O chatbot do site, conhecido como Olivia, foi criado pela empresa de software de inteligência artificial Paradox.ai. Enquanto isso, após as devastadoras inundações na semana passada no Texas que mataram pelo menos 120 pessoas, teorias da conspiração sobre o evento climático extremo ganharam tração suficiente entre extremistas anti-governo, influenciadores do GOP e outros com grandes plataformas para produzir consequências reais, como ameaças de morte.
Finalmente, os metadados da filmagem de vigilância “completa e bruta” capturada perto da cela de Jeffrey Epstein na noite anterior ao financiamento do financista envergonhado mostram que não é “filmagem bruta” de forma alguma. Em vez disso, de acordo com uma análise da WIRED e especialistas em forense de vídeo digital, o vídeo completo é composto por dois clipes e provavelmente foi processado usando software de edição poderoso.
E há mais. A cada semana, reunimos as notícias de segurança e privacidade que não cobrimos em profundidade. Clique nos títulos para ler as histórias completas. E fique seguro por aí.
4 Jovens Presos por Ciberataques Contra Varejistas do Reino Unido
No início deste ano, três varejistas no Reino Unido—Harrods, Co-Op e M&S—foram interrompidos por ciberataques abrangentes. Algumas prateleiras ficaram vazias por semanas, e os executivos da M&S esperam que os ataques custem cerca de £300 milhões ($407 milhões) no total. Esta semana, oficiais da lei da Agência Nacional do Crime (NCA), o equivalente britânico ao FBI, anunciaram a prisão de quatro pessoas como parte das investigações sobre os três ataques.
Uma mulher de 20 anos, dois homens de 19 anos e outro de 17 anos foram todos presos em suas casas em West Midlands e Londres na manhã de quinta-feira. Um dos homens de 19 anos é da Letônia, enquanto os outros são do Reino Unido, diz a NCA. Eles são suspeitos de possíveis ofensas da Lei de Uso de Computadores, extorsão, lavagem de dinheiro e “participação nas atividades de um grupo criminoso organizado”, disse a NCA em um comunicado. A agência de aplicação da lei não nomeou os indivíduos presos nem divulgou locais precisos onde estão baseados; no entanto, o diretor adjunto da NCA, Paul Foster, disse que as prisões foram um “passo significativo” em suas investigações.
Os ataques contra os três varejistas britânicos foram amplamente ligados, incluindo parcialmente pela NCA, ao grupo cibercriminoso solto conhecido como Scattered Spider. O grupo de hackers, que surgiu pela primeira vez em 2022, é composto em grande parte por jovens falantes de inglês e tem sido visto recentemente atacando varejistas, companhias aéreas e a indústria de seguros no Reino Unido e nos EUA.
‘Explosão’ de Imagens de Abuso Infantil Geradas por IA Pode Sobrecarregar a Web, Alertam Especialistas
Não demorou muito para que os criminosos começassem a usar IA generativa para criar imagens ultra-realistas de abuso sexual infantil. Agora, enormes volumes de conteúdo ilegal, criado por IA, estão sendo encontrados online, com criminosos passando a usar a tecnologia para criar vídeos, além de imagens estáticas. Durante os primeiros seis meses deste ano, analistas da Internet Watch Foundation, uma organização com sede no Reino Unido que remove material de abuso sexual infantil (CSAM) da web, identificaram 1.286 vídeos gerados por IA que mostram abuso—mais de 1.000 dos vídeos mostraram o tipo mais sério de abuso.
“Há um risco incrível de CSAM gerado por IA levar a uma explosão absoluta que sobrecarregue a web clara”, disse Derek Ray-Hill, o diretor executivo interino da Internet Watch Foundation. Números separados do Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC) dos EUA dizem que recebeu 485.000 relatórios de CSAM gerado por IA na primeira metade deste ano—um aumento em relação a 67.000 para todo o ano passado. Cerca de 35 empresas de tecnologia relataram encontrar CSAM gerado por IA em suas plataformas, disse o NCMEC.
Polícia Italiana Prende um Suposto Membro do Grupo de Hacking Silk Typhoon da China
Em uma rara instância de a aplicação da lei ocidental realmente prender um suposto hacker patrocinado pelo estado chinês, a polícia italiana prendeu Xu Zewei, um homem de 33 anos de Xangai, em um aeroporto em Milão no dia 3 de julho. A polícia estava agindo com base em um mandado emitido pelo Departamento de Justiça dos EUA que buscava a prisão de Xu por acusações de hacking. As autoridades alegam que ele é membro do grupo de espionagem conhecido como Silk Typhoon ou Hafnium, que tem realizado um amplo roubo de dados de governos ocidentais e empresas do setor privado por anos. Os promotores dos EUA estão acusando especificamente Xu de participar do hacking do Silk Typhoon que visou pesquisadores que trabalhavam para desenvolver uma vacina contra a Covid-19 em 2020 e 2021. Ele também é acusado de ter participado de uma campanha de hacking muito menos direcionada na qual o mesmo grupo invadiu dezenas de milhares de servidores Microsoft Exchange em todo o mundo, deixando para trás portas dos fundos para reconhecimento posterior. O advogado de Xu negou as acusações, dizendo que se trata de um caso de identidade equivocada, e a esposa de Xu também teria dito que ele é um técnico de TI na empresa GTA Semi Conductor.
Jogador de Basquete Profissional Russo Preso por Acusações de Ransomware
Em mais notícias sobre supostos hackers presos em aeroportos europeus—e um caso muito incomum de um suposto cibercriminoso que trabalha em outro emprego—policiais franceses prenderam esta semana o jogador de basquete profissional russo Daniil Kasatkin no aeroporto Charles de Gaulle em Paris, acusando-o de fazer parte de um grupo de ransomware. As autoridades ainda não nomearam a equipe de ransomware da qual Kasatkin supostamente fazia parte, mas dizem que de 2020 a 2022, atingiu cerca de 900 organizações, incluindo duas agências governamentais americanas. O advogado de Kasatkin, Frédéric Bélot, negou as acusações, dizendo que seu cliente é “inútil com computadores e não consegue nem instalar um aplicativo”. Kasatkin, que jogou pelo time de basquete profissional MBA Moscovo, havia viajado para a França com sua noiva para lhe fazer uma proposta.
Seguranças Usando Strava Vazaram as Localizações Detalhadas do Primeiro-Ministro da Suécia
Aqui está seu lembrete anual, entusiastas atléticos que compartilham demais, para definir as configurações da sua conta Strava como privadas. Esta semana, o jornal sueco Dagens Nyheter revelou que sete seguranças de funcionários do governo sueco deixaram suas contas Strava públicas, revelando suas localizações enquanto realizavam 1.400 atividades de exercício—e, em muitos casos, as localizações das pessoas que estavam protegendo, incluindo o primeiro-ministro sueco, Ulf Kristersson. As localizações vazadas do primeiro-ministro incluíam hotéis onde ele ficou, endereços privados, férias em família, viagens ao exterior e sua casa privada, que deveria ser secreta. Repita após mim, entusiastas do Strava com autorizações de segurança: Vá para Configurações, toque em Controles de Privacidade, depois em Atividades. Escândalo futuro evitado.