Após relatar na semana passada que o vídeo “bruto” da prisão de Jeffrey Epstein, postado pelo FBI, provavelmente foi modificado de alguma forma (embora não haja evidências de que a filmagem foi manipulada de forma enganosa), a WIRED relatou na terça-feira que a análise de metadados do vídeo mostra que aproximadamente 2 minutos e 53 segundos foram removidos de um dos dois clipes costurados.
O Departamento de Segurança Interna dos Estados Unidos enfrenta controvérsia devido a amostras de DNA coletadas de aproximadamente 133.000 crianças e adolescentes migrantes que o departamento adicionou a um banco de dados criminal. Enquanto isso, o pesquisador Jeremiah Fowler publicou descobertas esta semana de que mais de 2 GB de dados extremamente sensíveis relacionados à adoção – incluindo informações sobre pais biológicos, crianças e pais adotivos – foram expostos e acessíveis publicamente na internet aberta.
O novo recurso Trusted Connections do Roblox inclui verificação de idade que usa IA para escanear selfies em vídeo de adolescentes e determinar se eles podem ter acesso a bate-papos sem filtro com pessoas que conhecem. E à medida que as capacidades de deepfake em vídeo amadurecem – incluindo ferramentas de IA que podem até manipular filmagens de vídeo ao vivo – plataformas de “nudificação” por IA estão atraindo milhões de usuários e gerando milhões de dólares em receita usando tecnologia de empresas dos EUA.
E há mais. A cada semana, reunimos as notícias de segurança e privacidade que não cobrimos em profundidade nós mesmos. Clique nas manchetes para ler as histórias completas. E fique seguro por aí.
Os hackers do Sal da China, patrocinados pelo estado, já chocaram os EUA uma vez com a revelação no ano passado de que haviam penetrado profundamente nos sistemas de telecomunicações americanos, até mesmo visando as mensagens de texto e conversas telefônicas de cidadãos, incluindo os então candidatos Donald Trump e JD Vance em tempo real. Agora, parece que a espionagem do grupo incluiu o exército dos EUA, e ele passou grande parte do último ano dentro da rede da Guarda Nacional dos EUA em pelo menos um estado. A NBC News relatou esta semana sobre um memorando do DHS, obtido pela organização sem fins lucrativos de transparência em segurança nacional Property of the People, que alertou que o grupo de hackers chineses havia invadido a rede da Guarda Nacional em nível estadual de março a dezembro do ano passado. Não foi identificado qual estado foi alvo. De acordo com o memorando, o acesso do Sal da China “provavelmente forneceu a Pequim dados que poderiam facilitar a invasão de outras unidades da Guarda Nacional do Exército de estados, e possivelmente muitos de seus parceiros de cibersegurança em nível estadual.”
O plano do IRS revela um plano secreto para permitir que o ICE acesse dados de contribuintes em tempo real.
A administração Trump está desenvolvendo um novo sistema digital projetado para conceder ao Departamento de Imigração e Controle de Fronteiras acesso quase em tempo real a dados sensíveis de contribuintes, incluindo seus endereços residenciais. Os blueprints internos, revelados pela ProPublica na terça-feira, mostram que o sistema é projetado para automatizar e acelerar as trocas de dados “sob demanda”, contornando as salvaguardas tradicionais do IRS que normalmente exigem revisão caso a caso e justificativa legal. O sistema representa uma mudança significativa na forma como os dados do IRS são acessados e já está levantando preocupações entre especialistas em direitos civis que afirmam que o processo pode violar leis de privacidade e acelerar ainda mais a capacidade do ICE de obter dados fiscais para fins de deportação.
Os freios dos trens dos EUA podem ser hackeados com uma vulnerabilidade de segurança de 20 anos.
Uma vulnerabilidade zero-day que permite que os freios de trens sejam ativados por hackers maliciosos é uma noção preocupante. Uma vulnerabilidade de mais de 7.300 dias que deixa os trens expostos a esse hack de freios é um nível chocante de negligência para uma peça de infraestrutura crítica dos EUA. A Agência de Cibersegurança e Segurança de Infraestrutura divulgou na semana passada um aviso sobre a falta de autenticação em um protocolo que permite que um dispositivo na frente de um trem (HOT) envie um sinal de frenagem para outro dispositivo na extremidade de um trem (EOT) para frenagem coordenada em trens longos, como os trens de carga. Isso significava que hackers poderiam enviar seus próprios comandos não autenticados para interromper trens, desligar redes ferroviárias ou até causar descarrilamentos, disse um dos pesquisadores creditados no aviso à SecurityWeek. A questão é ainda mais grave pelo fato de que os pesquisadores descobriram que a vulnerabilidade foi relatada pela primeira vez em 2005, mas nunca foi levada a sério ou corrigida. Dezena de milhares dos vulneráveis dispositivos HOT e EOT devem ser substituídos em um processo que começará no próximo ano.
O Google processa criadores de um botnet de TV baseado em malware de 10 milhões de dispositivos.
Hackers que desejam construir um botnet de dispositivos da Internet das Coisas controlados por malware podem examinar esses dispositivos em busca de vulnerabilidades – que são abundantes o suficiente – e explorá-las remotamente. Ou melhor ainda, podem infectá-los antes mesmo de serem enviados. O Google anunciou esta semana que entraria com um processo contra os administradores do chamado botnet BadBox 2.0, que consistia em 10 milhões de TVs Android que foram de alguma forma infectadas com malware antes de serem vendidas aos consumidores. Os operadores do botnet, que o Google descreve como cibercriminosos chineses, então venderam acesso a esses dispositivos para serem usados como máquinas proxy ou para falsificar visualizações de anúncios em um vasto esquema de fraude publicitária. O BadBox 2.0 “já é o maior botnet conhecido de dispositivos de TV conectados à internet, e cresce a cada dia. Ele prejudicou milhões de vítimas nos Estados Unidos e em todo o mundo e ameaça muitos mais”, diz a reclamação do Google.