Esta semana, o ex- diretor de segurança do Twitter Peiter “Mudge” Zatko apresentou uma denúncia explosiva contra a empresa. As alegações, contestadas pelo Twitter, afirmam que a empresa de mídia social tem várias falhas de segurança que não levou a sério. Zatko alega que o Twitter colocou um agente do governo indiano em sua folha de pagamento e não conseguiu corrigir servidores e laptops da empresa. Entre as reivindicações, no entanto, uma se destaca: a sugestão de que os engenheiros do Twitter poderiam acessar o software ao vivo e tinham acesso virtualmente não rastreado ao seu sistema.
Em uma vitória de privacidade para estudantes nos EUA , um juiz de Ohio decidiu que é inconstitucional escanear as casas dos alunos enquanto eles estão fazendo testes remotos. Também detalhamos a falha de privacidade que está ameaçando a democracia dos EUA – a falta de proteções federais de privacidade significa que sistemas de vigilância em massa podem ser usados contra cidadãos de novas maneiras. invasão em escala da Ucrânia passa de seis meses, as forças militares estão cada vez mais recorrendo a dados de código aberto para apoiar seus esforços. A polícia na Índia está usando o reconhecimento facial com taxas de precisão muito baixas – a tecnologia está sendo amplamente usada em Delhi, mas pode estar gerando muitos falsos positivos. E mergulhamos profundamente (talvez profundamente demais) em como quatro estudantes do ensino médio hackearam 500 câmeras de suas escolas, em seis locais, e enganaram milhares de alunos e professores. É uma pegadinha de formatura elaborada.
E tem mais. A cada semana, destacamos as notícias que não cobrimos em profundidade. Clique nos títulos abaixo para ler as matérias completas. E fique seguro lá fora.
Desde que trolls apoiados pela Rússia inundaram o Facebook e o Twitter com desinformação em torno das eleições de 2016 nos EUA, as empresas de mídia social melhoraram sua capacidade de acabar com as redes de desinformação. As empresas frequentemente derrubam contas de propaganda vinculadas a estados autoritários, como Irã, Rússia e China. Mas é raro que os esforços ocidentais de desinformação sejam descobertos e expostos. Esta semana, o Stanford Internet Observatory e a empresa de análise de mídia social Graphika detalhou uma operação de cinco anos que estava promovendo narrativas pró-ocidentais. (A pesquisa segue Twitter, Facebook e Instagram enquanto eles removem uma série de contas de suas plataformas por “comportamento inautêntico coordenado.”)
As contas de propaganda usaram memes, sites de notícias falsas , petições on-line e várias hashtags na tentativa de promover visões pró-ocidentais e estavam ligadas a operações de influência aberta e secreta. As contas, algumas das quais parecem usar fotos de perfil geradas por IA, segmentaram usuários da Internet na Rússia, China e Irã, entre outros países. Os pesquisadores dizem que as contas “criticaram fortemente” a Rússia após sua invasão em larga escala da Ucrânia em fevereiro e também “promoveram mensagens antiextremismo”. O Twitter disse que a atividade que viu provavelmente se originou nos EUA e no Reino Unido, enquanto o Meta disse que eram os EUA.
Muitas das técnicas usadas pela operação de influência online aparecem para imitar as contas apoiadas pela Rússia usadas na preparação para as eleições de 2016. É provável, no entanto, que as operações de influência ocidental não tenham sido tão bem-sucedidas. “A grande maioria das postagens e tweets que analisamos não recebeu mais do que um punhado de curtidas ou retuítes, e apenas 19% dos ativos secretos que identificamos tinham mais de 1.000 seguidores”, dizem os pesquisadores.
Nos últimos anos, o Charming Kitten, um grupo de hackers ligado ao Irã, ficou conhecido por suas “campanhas de phishing agressivas e direcionadas”. Esses esforços de phishing visam coletar os nomes de usuário e senhas das contas online das pessoas. Esta semana, o Grupo de Análise de Ameaças (TAG) do Google detalhou uma nova ferramenta de hacking que o Charming Kitten está usando, capaz de baixar todas as caixas de entrada de e-mail das pessoas. Apelidada de Hyperscrape, a ferramenta pode roubar detalhes das pessoas do Gmail, Yahoo e Microsoft Outlook. “O invasor executa o Hyperscrape em sua própria máquina para baixar as caixas de entrada das vítimas usando credenciais adquiridas anteriormente”, diz a TAG em um post no blog. A ferramenta também pode abrir novos e-mails, baixar seus conteúdos e depois marcá-los como não lidos, para não levantar suspeitas. Até agora, o Google diz que viu a ferramenta usada contra menos de duas dúzias de contas pertencentes a pessoas sediadas no Irã.
A empresa de gerenciamento de senhas LastPass diz que foi hackeada. “Duas semanas atrás, detectamos algumas atividades incomuns em partes do ambiente de desenvolvimento do LastPass”, escreveu a empresa em comunicado nesta semana. O LastPass diz que uma “parte não autorizada” conseguiu obter acesso ao seu ambiente de desenvolvimento por meio de uma conta de desenvolvedor comprometida. Enquanto o hacker (ou hackers) estava dentro dos sistemas do LastPass, eles pegaram parte de seu código-fonte e “informações técnicas proprietárias do LastPass”, diz a empresa em seu comunicado. Não detalhou quais elementos de seu código-fonte foram retirados, dificultando a avaliação da gravidade da violação. No entanto, a empresa diz que as senhas e os dados dos clientes não foram acessados – não há nada que os usuários do LastPass precisem fazer em resposta ao hack. Apesar disso, a acusação ainda provavelmente será uma dor de cabeça para as equipes técnicas do LastPass. (Também não é a primeira vez que o LastPass é alvo de hackers.)
O diretor de comunicações da exchange de criptomoedas Binance afirma que os golpistas criaram uma versão deepfake dele e enganaram as pessoas para comparecerem aos negócios reuniões em chamadas de Zoom com seu falso. Em uma postagem de blog no site da empresa, Patrick Hillmann, da Binance, disse que várias pessoas enviaram mensagens para ele pedindo seu tempo. “Acontece que uma equipe de hackers sofisticada usou entrevistas anteriores e aparições na TV ao longo dos anos para criar um ‘deepfake’ de mim”, escreveu Hillmann, acrescentando que o suposto deepfake foi “refinado o suficiente para enganar vários membros da comunidade cripto altamente inteligentes. ” Nem Hillmann nem Binance postaram imagens mostrando o deepfake reivindicado. Desde que os deepfakes surgiram em 2017, houve relativamente poucos incidentes de fraudes de vídeo ou áudio falsos se passando por pessoas. (A grande maioria dos deepfakes foi usada para criar imagens pornográficas não consensuais). No entanto, relatórios recentes dizem que os golpes de deepfake estão aumentando e, em março do ano passado, o FBI alertou que previa um aumento de deepfakes maliciosos nos próximos 12 a 18 meses.
