Neste episódio comentamos sobre as notícias mais recentes no mundo da segurança da informação e proteção de dados, com Guilherme Goulart e Vinícius Serafim. Você irá descobrir os detalhes sobre a sanção da Lei 15.254 de 2025, que criou o Dia Nacional de Proteção de Dados em 17 de julho, uma homenagem ao jurista Danilo Doneda, considerado o pai da proteção de dados no Brasil. Abordamos também o audacioso furto no Museu do Louvre, que expôs falhas críticas de segurança física, incluindo o uso de senhas fracas como “Louvre” no sistema de videovigilância, um caso que serve de alerta sobre a manutenção de sistemas dessa natureza. Além disso, você irá aprender sobre as revelações de uma reportagem da Reuters, indicando que a Meta conscientemente lucrou bilhões com anúncios fraudulentos, scams e a venda de produtos proibidos, levantando um debate sobre a responsabilidade das big techs. Analisamos também a nova versão do OWASP Top 10 para 2025 e discutimos a polêmica proposta de simplificação do GDPR na Europa, que pode enfraquecer o regime de proteção de dados na Europa e no mundo.
Se você gosta do nosso conteúdo, não se esqueça de assinar o podcast na sua plataforma de áudio preferida para não perder nenhum episódio, nos seguir nas redes sociais e deixar sua avaliação. Sua participação ajuda o Segurança Legal a alcançar mais ouvintes e a continuar produzindo conteúdo de qualidade sobre cibersegurança e privacidade.
❤️ Visite nossa campanha de financiamento coletivo e nos apoie!
📚 Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes:
- Presidente sanciona lei que cria o Dia Nacional da Proteção de Dados
- Louvre Heist Fallout Reveals Museum’s Video Security Password Was ‘Louvre’
- The cybersecurity error at the Louvre that allowed the historic the
- Meta is earning a fortune on a deluge of fraudulent ads, documents show
- Release Candidate do Owasp Top 10
- Vídeo – Pentest | O que é e como funciona um Teste de Invasão?
- EU Commission internal draft would wreck core principles of the GDPR
📝 Transcrição do Episódio
(00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, os nossos ouvintes. 11 de 11 hoje. 11 de 11. Hoje tem promoção em tudo quanto é coisa.
(00:31) Época de mentirinha, mas esse é o nosso momento então de conversarmos sobre algumas notícias e acontecimentos que nos chamaram atenção. Pega o seu café então e vem conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para podcast@segurancalegal.com, Mastodon, Instagram, Bluesky, YouTube.
(00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. E também convidamos você a acompanhar a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores lá no Telegram.
(01:14) Vinícius, quer mandar uma mensagem ali pro Isaac Melo? Abraço pro Isaac Melo, que nos mandou algumas informações aqui, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que nos passaste. Isaac, muitíssimo obrigado. A gente vai dar uma olhadinha. Valeu, valeu, Isaac.
(01:38) Continue sempre conosco. Primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos, ele gravou com a gente aqui no podcast, fizemos um episódio de homenagem a ele depois do seu falecimento. É uma homenagem muito justa, muito válida, sabe? Porque realmente o Danilo era um cara incrível.
(02:28) Dá para se dizer que foi uma força agregadora em torno da qual nasce a lei de proteção de dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador.
(02:49) Então, temos aqui o nosso dia nacional de proteção de dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mini notícia. Eu disse antes misto de felicidade, mas também com saudade. Fica homenagem aí. São coisas da vida. Enfim, furto no Louvre, Vinícius, você ficou sabendo? Sim, sim.
(03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá dentro, roubaram, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto a última vez que eu vi eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo.
(03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Não, sem dúvida, sem dúvida, sem dúvida.
(04:04) Então agora no dia 19 de outubro alguns ladrões, foi uma coisa de filme. Certamente. Então esses ladrões se disfarçaram, roubaram em 7 minutos. Exatamente, mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar lá o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei, ouvintes, o cuidado de perguntar pro Vinícius se ele tinha ouvido falar disso. Então vai ser uma surpresa para ele também: o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram…
(04:43) É que a senha do sistema de vídeovigilância, Vinícius, sabe qual era? Não, não sei qual. A senha do sistema de vídeovigilância era Louvre. E aí eles tinham um outro sistema, eu não tentaria essa senha. Eu não, ninguém iria colocar essa senha.
(05:13) Eu não tentaria. Não é possível. Mas foi. Então eles, uma das senhas era Louvre e aí eles tinham, usavam um outro sistema lá também de monitoramento que era de nome Thales e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000.
(05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li aí nos portais, eles usaram essa senha fraca para desativar o sistema de vídeovigilância enquanto eles estavam realizando o furto. E claro que o caso é meio pitoresco assim, a gente deu risada, mas enfim, não é algo engraçado assim. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Exato. Não teve nenhuma vítima. Mas assim, é um patrimônio.
(06:14) É claro que todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, aquelas, mas enfim, isso não vem ao caso agora. O que vem ao caso, eu acho que dá para daí sim linkar esse caso meio pitoresco com as nossas temáticas aqui. Que é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de vídeovigilância, sabe? Tem você tem casos que às vezes isso não tá bem dentro da TI, não é gerenciado pela TI, fica numa zona meio…
(06:48) Fica num limbo, cara. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. E isso acaba ficando no colo da TI e aí vem aquelas demandas de: “Ah, tem que abrir para acesso remoto, para acessar, quero você poder de casa.” Aí às vezes tu vai, aí o cara: “Olha, melhor não.” “Não, mas eu quero.”
(07:12) Daí vem de cima, aí a pessoa quer acessar. Aí libera, aí acessa, depois esquece que isso existe, e fica lá o acesso. Você imagina o quão importante é isso pro museu mais importante do mundo? A segurança física. Claro. Sim, sim. A segurança física ali é essencial. Uhum. Nesse caso. Sim.
(07:36) São objetos dos mais variados ali que estão fisicamente guardados, sob guarda do Louvre. E nem sempre os objetos pertencem ao museu. Eles podem estar momentaneamente cedidos ao museu. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas também que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Claro. Mas voltando aqui para pra segurança, Vinícius, às vezes fica…
(08:16) Quase como uma questão de zeladoria. Então você tem dois problemas aí. Primeiro é o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até você pensa: “Não, mas ninguém teria audácia de…” Não. Sim, isso de fato aconteceu.
(08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também nós não podemos esquecer que imagens de vídeo que envolvem pessoas, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertos pelas proteções da LGPD.
(09:04) Então, é algo bem crítico assim. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios e tal, mas se insere nesse grande mundo aqui da…
(09:33) Segurança física dentro da segurança da informação. Sem dúvida. E a gente tem todo aquelas, a gente não vou entrar nesse detalhe agora que a gente já conversou sobre isso várias vezes, sobre aquelas questões de vigilância em cidades. O pessoal quer crime em ambientes públicos e tal para saber de todo mundo.
(09:52) Então isso numa cidade grande até dá um certo anonimato. Eu digo um certo porque tu não vai assim porque tem muita gente. Mas logo isso vai ser resolvido, já tá sendo resolvido com a IA rastreando ali, reconhecendo todo mundo, não importa o número de pessoas que tem.
(10:11) Mas em cidades menores, como por exemplo Três de Maio, são 25.000 habitantes, ou cidades ainda menores que tem aqui na volta. Tu põe um sistema desses, cara, tu sabe quem foi falar com quem, a que horas. Tem as principais das nossas cidades, que são pequenininhas e que tem uma rua, duas ruas principais assim, que para ti, em qualquer lugar, tu passa nessas ruas e tu tendo algumas câmeras ali, tu já consegue saber, cara, quem tá falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com…
(10:44) Reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado. Acho que foi sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e consequentemente onde os, na grande maioria das vezes, os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora pro Meta, Vinícius, e isso saiu. Deixando bem claro que nós vamos agora refletir aqui ou replicar ou reproduzir uma notícia, um furo dado…
(11:24) Pela Reuters, que revelou uma informação muito crítica assim sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta.
(11:51) Mas assim, é possível dizer que nós no nosso cotidiano, assim, eu principalmente, cara, já vi muito, muitos anúncios de fraude. Instagram, Instagram que é eu, que o Facebook eu não acesso mais, mas Instagram já vi muito. Já tive familiares que caíram e amigos que caíram em golpes de compras feitas por anúncios no Instagram.
(12:11) Então, é um negócio mais ou menos conhecido do brasileiro, assim, que tá bastante acostumado a reagir a golpes dos mais variados possíveis. E a gente começa a ficar calejado. Esses dias eu tava alugando um Airbnb essa semana aqui e a dona lá do Airbnb falou: “Ah, me passa o teu e-mail para eu conversar.” Eu disse: “Já fiquei ressabiado.”
(12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro.” E a pessoa: “Não, tudo bem, continuamos por aqui.” Mas o brasileiro ele… Porque muitos desses golpes, a ideia é tirar o cara do canal oficial para levar ele para outro canal. Mas enfim, então o que que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, remédios proibidos, substâncias proibidas e golpes mesmo…
(13:12) Scams, golpes que eles chamam. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não, não. Auto lá não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como, cassinos ilegais, produtos médicos proibidos, extorções sexuais, contas falsas fingindo ser celebridades e coisas do gênero.
(13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso, ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes, vamos lá, essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados.
(14:11) Se você for falar em extorção sexual, esse negócio é seriíssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. Então, e isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eles eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes.
(14:42) Só que eles só banem os anúncios quando há ou quando houver 95% de certeza de que há uma ilegalidade naquele anúncio. E mais a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos anúncios que tu clica. Porque aquela coisa, todo mundo sabe como que é. Não é mais novidade para ninguém.
(15:02) Você vai clicar em sapato, camisa e sei lá o que, mas relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. Então o que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria por conta do funcionamento do algoritmo sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez tá feito.
(15:28) É, é bem curioso porque é o tipo de comportamento que se você sabe que aquele anúncio é fraudulento, você poderia não recomendar o anúncio, mas não, não é o que acontece. O que que porta-voz da Meta, o porta-voz Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes.”
(15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes, scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é uma falta de regulação e é uma consequência direta de como é difícil você contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque…
(16:34) A influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente tá comprando é aquilo que a gente quer comprar mesmo ou aquilo tá sendo influência dos teus hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber, sabe? Porque daí você vai pesquisar no YouTube sobre um negócio e aquilo vai começar a aparecer e aparece em outra plataforma e quando você comprou e coisas relacionadas. Esse é um problema. Esses documentos todos e a…
(17:11) Reportagem da Reuters vai ficar ali. É super completa. E o que os caras dizem é que esse comportamento da Meta permitiu que se crie, eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude tá se ampliando no mundo inteiro.
(17:36) Os próprios relatórios internos da própria Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo benefício e análise. A gente sabe como fazer análise de custo benefício, sobretudo nos Estados Unidos, é complicado. Porque lá as multas para esse tipo de análise, ou para esse tipo de manejo assim, são bem altas, bem punitivas mesmo.
(18:03) Então, o que que eles fizeram? Eles se sabiam que multas viriam. Eles tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que nesse meio tempo eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, eles ignoravam 96% dos avisos de fraude.
(18:34) Sabe aquela coisa quando você vê o anúncio, fala: “Denunciar.” Você denuncia e aí depois recebe uma mensagem: “Ah, verificamos aqui, não tem nenhum problema.” Pois é, segundo os dados vazados e segundo a Reuters, isso seria 96%. E aí o que que eles ainda fizeram para terminar? Eles tinham uma lista interna dos o que se chamava, eu não sei como traduzir, os scamiest scammers. Scamiest scammers, scammers mais scammers.
(19:07) É, os que fazeram os mais, os scammers que aplicaram mais golpes, os piores, entre os piores. E que tem? O que que esses piores fizeram? Enfim, aí o que que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de scamiest scammers ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram. Sabiam quais eram. Qual foi a estratégia deles?
(19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os penalty bids, ou seja, tipo como se fosse um leilão. Então quando identificava que tinha o potencial de ser fraudulento, eles cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez foi ficando pior. Mas enfim, essa história como sempre fica aqui os links e você pode, se quiser se aprofundar, pode dar uma olhada lá nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva…
(20:29) Pra gente entender o porquê tamos recebendo com tanta intensidade assim anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora o meu, a minha, que a minha filha única, a minha é uma só hoje. Tragemos. O que temos? O que temos é o seguinte, cara.
(20:53) Tava a tão esperada atualização do OWASP Top. A tão esperada atualização do OWASP Top 10. Não tá ainda full, é um release candidate. Ah, mas eles prometeram para 2025. Nós estamos com release candidate, ainda estamos em 2025. Então, vamos ver se até o final do ano essa versão aqui já se torna de fato a versão final. A gente tava com a OWASP desde 21, sem atualização, sem o Top 10 sem atualização.
(21:26) E então agora houve a atualização, aconteceu a atualização. E eu vou dar uma geral aqui, Guilherme, que a gente tem planos de entrar em maiores detalhes aqui em cada um desses itens. Mas só pra gente ter uma noção do que das danças das cadeiras. Eu até preparei aqui para compartilhar com o pessoal. Para quem tiver acompanhando os… Ah, aqui para quem tiver acompanhando no YouTube. Então aqui é a versão release candidate um. Não quer dizer que é o último release candidate antes da versão final, pode ser, pode ter o dois ainda…
(22:01) Mas em essência eu vou destacar aqui para até para eu poder ler e para quem nos acompanha poder ler também. Nós temos, vamos ver, acho que fica, acho que fica bom assim. O Top 10 de… Eu vou de baixo para cima ou de cima para baixo? Que você prefere, Goulart? Eu vou dar. Ah, tanto faz, cara.
(22:22) Fica fica à vontade aí. Eu vou de baixo para cima. Então, o A10 de… Que é o… Em 2021, o que era o 10, que era o Server-Side Request Forgery, acabou sumindo, foi retirado. É algo que foi unido ao Broken Access Control. Então o controle de acesso quebrado. O Server-Side Request Forgery é um tipo de ataque específico. Eles até explicam essa decisão de sumir com ele dali e unir ele porque tava meio, não em duplicidade, mas tava meio fora do lugar. Então ele acaba sumindo. Então o A10 de 2021 some…
(23:11) E nós temos um novo A10 aqui na de 2025, que é o tratamento inadequado de condições excepcionais. Essa é uma nova, é um novo… Esse item não existia em nenhum dos itens da Top 10 de 2021. Então ele é novo, ele é algo que a gente não tinha visto ainda. Cada um desses controles, eu, por isso que eu digo que nós vamos ter que entrar em detalhes em cada um desses controles, em cada um desses itens. Ele tem uma série de CWEs…
(23:50) Que é lá do MITRE, que é um catálogo de vulnerabilidades, não de vulnerabilidades conhecidas, mas tipo de fragilidades conhecidas. São tipos de fragilidades, não são vulnerabilidades específicas de um software. E eles, então, em cada um desses itens agregaram uma série dessas vulnerabilidades.
(24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, erros que falham, coisas que falham aberto, ou seja, algo que ao dar, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle, o acesso a alguma informação, acesso a alguma funcionalidade simplesmente aberto e não inacessível. E outros cenários que eles trazem. O nosso A9 de 2021, que é o Security Logging and Monitoring Failures. Então, falhas de monitoramento e de segurança e falhas de monitoramento…
(24:53) Por si só. Continuou no nono lugar. Porém mudou um pouquinho o nome, virou só Logging and Alert Failures. Então, continuou no nono local, nono lugar. O A número oito, que é o Software and Data Integrity Failures, que é a falha de integridade de software e dados. Acabou se mantendo também em oitavo lugar.
(25:25) Em sétimo lugar, as falhas de autenticação. Antes era falhas de autenticação e identificação, agora é só falha de autenticação que engloba tudo. Então, essencialmente aí no finalzinho diferente, na teoria da segurança. É, na verdade eles englobaram na mesma. Porque tem várias situações de overlap ali.
(25:46) Para autentificar, tu tem que autenticar, tu tem que identificar. Então, acabou ficando nesse lugar. Então, o sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Então nós tivemos uma, uma caiu para quarto lugar. Agora eu vou pegar uns três no meio ali do miolo. Caiu para quarto lugar as falhas criptográficas. Em que uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais. A…
(26:25) Injeção, o Injection. Que entra aí o SQL Injection. Então você tem SQL Injection e qualquer outro tipo de injeção de comandos e coisas do gênero. Você também tá tendo essa falha. Então veio do segundo lugar, falha de criptografia veio pro quarto, Injection veio do terceiro lugar pro quinto, elas vieram juntinhas. E Design Inseguro. O Design Inseguro ele é bem genérico, não são falhas, não são erros de codificação, mas foram coisas que foram projetadas de forma insegura.
(27:04) Então não foi um problema na implementação, elas foram projetadas de forma insegura, foram implementadas segundo o projeto e aí há um problema de segurança. E isso caiu de quarto lugar para sexto lugar.
(27:23) Bom, quem que foi então pro segundo e terceiro lugares? Antes da gente dizer quem tá em primeiro, o segundo e terceiro lugares, eles ficaram com a Componentes… Componentes vulneráveis e desatualizados, que mudou de nome. Então, essa tava no sexto lugar, foi para terceiro, e o novo nome é Software Supply Chain Failures. Então, falhas da cadeia de fornecimento em que você usa bibliotecas, tanto bibliotecas tanto no momento do fazer o building do software, que é, em várias situações, quando tu vai fazer o building, a biblioteca não tá ali, ele vai lá e baixa a biblioteca de algum repositório na internet e usa essa biblioteca para fazer a…
(28:03) Construção do software ali para fazer o deploy na sequência. Então tem vários tipos de problemas de supply chain que entraram. Então vieram lá do sexto lugar, agora em terceiro lugar. Então é algo importante a ser observado. Erros de configuração.
(28:23) E aqui é muito interessante. Eles citam que muito da infraestrutura, à medida que a gente migra para nuvem, à medida que tu passa a ter a infraestrutura como um, uma, como um software que tu configuras, tem cada vez mais erros de configuração e isso fez então o Security Misconfiguration vir lá do quinto lugar e vir parar em segundo lugar em 2025. E o A número um, que já tá como número um já há pelo menos dois Top 10. São os controles, o Broken Access Control, controles de acesso quebrado, são falhas gerais de controle de acesso. Desde alterar um ID, acessar…
(29:04) Informação que não deveria até tu mudar uma flag e conseguir virar administrador num sistema ou de repente fazer acesso direto a uma URL e aí tu não precisar de autenticação para acessar aquela informação. Tem de tudo ali dentro relacionado a Broken Access Control. E esse é o top, é o, é a primeira do Top 10 de 2025 do OWASP. E se manteve, vem se mantendo.
(29:34) E uma coisa que me chamou atenção, Guilherme, eles até, tá aqui o dado na tela. Depois eu vou ter que olhar com mais detalhes quando a gente for destrinchar cada um desses itens aqui. Eles dizem que na média 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria.
(30:03) Eu achei muito baixo. Por que que eu achei muito baixo? Porque é muito difícil tu avaliar uma aplicação que não tenha esse tipo de problema aqui. Assim, baixíssimo. Se fosse 20% eu ia dizer baixo. Então eu vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas. Mas eles detalham um pouco melhor com base no que isso aqui foi definido porque é muito baixo, porque a gente tem muito problema de controle de acesso quebrado.
(30:35) Guilherme, deixa eu só fazer, abrir um parênteses aqui, Vinícius. A minha qualidade de vídeo aqui deve tá indo terrivelmente ruim para você, porque eu tô te vendo muito mal e eu vi que a gravação do último episódio a tua tá razoável. É, eu tô vendo agora, tá, mas tá pequenininho. Tô vendo pequenininho que tá.
(30:53) Eu tô vendo, tua tá não tá muito boa mesmo. Eu tô vendo o teu retorno como se fosse 8 bits, assim, eu sequer consigo ler direito o que tá na tela aqui. Então, e não é internet. Não é internet. Depois eu vou ter que descobrir isso. Mas eu só falo isso para quem tiver vendo no YouTube.
(31:10) Desculpa se tiver essa qualidade que eu tô vendo aqui, tá horrível. Vou te mandar aqui para ver como é que tá aí. E então, mas você, se você puder subir um pouquinho ali, até para quem tá no YouTube, mas para mostrar aquela mudança ali, eu achei bem interessante e os que subiram. A Security Misconfiguration, isso indica tendências do que tá acontecendo no mundo também. Porque eles ordenam, não é somente 10 categorias, são 10 categorias que mais aparecem agregadas ou colocadas ali num nível hierárquico do que mais acontece para menos acontece. Então, quando a gente vê essas mudanças…
(31:47) De ordenamento, o que era o quinto ali vai pro segundo, o que era o segundo vai pro quarto e por aí vai, isso diz muito sobre os ambientes, sobre o que tá acontecendo no mundo da segurança também. Agora eu quero te fazer uma pergunta. Fale, é para um testador, para uma pessoa que vai realizar testes de invasão, para um, para uma empresa como a BrownPipe que realiza testes de invasão, inclusive. Ah, entendi.
(32:18) Quer fazer? Qual é o papel da OWASP para empresas como a BrownPipe? Cara, eu acho que tem, primeiro a OWASP, ela é um norte com relação ao tipo de coisa que é mais comum e sendo já indicado como mais comum, é o tipo de coisa que é mais procurada também.
(32:43) Então, e ela é uma referência que a gente utiliza quando faz pentest. Não só o Top 10, mas todo o corpo do WSTG da OWASP. Porque tem a lista de testes a serem feitos mais. Mas aqui é importante, é muito interessante quando tu encontra uma vulnerabilidade que se encaixa num desses itens, tu dizer: “Olha, essa vulnerabilidade que tu tens, ela tá no Top 10. Ou seja, é algo extremamente comum.”
(33:09) Eu vou ter que mutar para só um pouquinho. Vai lá. Enquanto isso, o Vinícius torce. Voltei. Então assim, ela é extremamente preocupante quando tu tens uma série de vulnerabilidades nos teus sistemas que se encaixam no Top 10. Porque isso aqui não, não é, é importante pro pentest, é mais para ajudar a classificar as coisas, mas isso aqui é muito importante para quem desenvolve.
(33:37) Porque quem desenvolve, olhando isso aqui, se você der uma estudada no Top 10, você vai ver pelo menos quais são os erros mais comuns, que no final das contas vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece de ser algo diferente disso. Mas em geral são erros de programação.
(34:00) Então se eu pegar por exemplo aqui o Broken Access Control A01 aqui, que é o primeiro, vou clicar nele, ele vai me trazer os 25 controles aqui, os 25 CWEs mapeados para esse item. Então tem uma série de, assim, limitação imprópria de um caminho ou de um diretório restrito, Path Traversal. Cara, isso aqui, esse erro CWE-22, essa aqui é a famosa do usar o ponto ponto para te ir para um outro lugar qualquer. Tu listar lá o que não deveria tá listado na internet, ou listar ou gravar onde não deveria ou tu ler de algum lugar que não deveria. E…
(34:40) Isso aqui você encontra. Esse tipo de você encontra. Isso aqui faz parte do A01. Aí tem, vamos ver aqui, pegar um que seja comum aqui. Aqui. Permissões incorretas por default. Nossa, isso aqui nem se fala. Improper Access Control, que é muito genérico.
(35:09) CSRF, você não ter proteção contra o Cross-Site Request Forgery, ou seja, eu gerar uma requisição de alguma forma que tu vai acessar o meu site, algo que eu controlo, eu vou te entregar uma requisição pronta para te fazer num sistema que tu acessa e tu vai abrir essa requisição no teu navegador e ele vai executar dentro da sessão que tu estás logado naquele momento.
(35:28) E aí eu posso criar um usuário e, depende, os efeitos são os mais diversos possíveis, mas tem várias aqui. Acesso direto, acesso direto é aquele eu tento pular interfaces que fazem autenticação e tal antes de chegar no destino final e aí eu vou direto no destino final, eu consigo acessar sem autenticação.
(35:50) De novo e por aí vai. Tem várias coisas aqui dentro. Então isso aqui são erros comuns que se a equipe de desenvolvimento tiver antenada, ela já vai evitar uma série de dor de cabeça e já vai reduzir um monte de coisa que quem vai fazer pentest acaba encontrando.
(36:10) Agora, uma coisa muito interessante, Guilherme, agora sim, fazendo jabá para BrownPipe. Quando a gente faz pentest, a gente não pega uma ferramenta, um software qualquer e fica disparando o software, vê o que ele encontra e deu e acabou. Porque em geral ele vai encontrar aquelas coisas muito óbvias e que estejam acessíveis.
(36:27) Então vai fazer um Black Box com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebeu um relatório dizendo: “Foi feito testes, foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante,” não sei que coisa parecida. Na BrownPipe a gente sempre recomenda que sejam feitos testes White Box.
(36:51) A gente tem inclusive um vídeo sobre isso que nós vamos compartilhar no show notes depois, no nosso YouTube também para você ver lá o porquê você deve fazer White Box. A gente já percebe em razão desses movimentos todos aí que tem acontecido do sistema bancário. A gente já começa a perceber bancos demandando que as empresas, suas fornecedoras, façam testes White Box e que não podem ser automatizados. Então a BrownPipe já faz isso há muito tempo.
(37:20) Óbvio que a gente usa a ferramenta também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o comunzão que todo mundo acha, mas nós prezamos por um trabalho personalizado, humano, human in the loop, pra gente conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto ainda não faz.
(37:44) Então, se quiser alguma coisa realmente certeira, bem documentada e que você sabe que foi revisado e não foi simplesmente rodada uma ferramenta qualquer, a BrownPipe tem um serviço certo para você aí de pentest. Jabá, Guilherme. Pronto. Certo. Eu t
paste.txt
Com base na transcrição do podcast fornecida, aqui está o texto corrigido e a análise solicitada.
Transcrição Corrigida
(00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim, vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, aos nossos ouvintes. 11 de 11 hoje. Hoje tem promoção em tudo quanto é coisa.
(00:31) Na época de mentirinha, mas este é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção. Pegue o seu café e venha conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para podcast@segurancalegal.com, Mastodon, Instagram, Bluesky e YouTube.
(00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. Convidamos você a acompanhar a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores no Telegram.
(01:14) Vinícius, quer mandar uma mensagem para o Isaac Melo? Um abraço para o Isaac Melo, que nos mandou algumas informações, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que você nos passou, Isaac. Muitíssimo obrigado. A gente vai dar uma olhada. Valeu, Isaac.
(01:38) Continue sempre conosco. A primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da Lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos com ele aqui no podcast, fizemos um episódio de homenagem a ele depois do seu passamento.
(02:28) É uma homenagem muito justa, muito válida, porque realmente o Danilo era um cara incrível e, dá para se dizer, foi uma força agregadora em torno da qual nasce a Lei de Proteção de Dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador.
(02:49) Então, temos aqui o nosso Dia Nacional de Proteção de Dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mininotícia. Eu disse antes, um misto de felicidade, mas também com saudade. Fica a homenagem. São coisas da vida. Furto no Louvre, Vinícius, você ficou sabendo? Sim, sim.
(03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto que da última vez eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo.
(03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Sem dúvida.
(04:04) Então, agora no dia 19 de outubro, alguns ladrões, foi uma coisa de filme. Certamente. Esses ladrões se disfarçaram, roubaram em só 7 minutos. Exatamente. Mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei o cuidado de perguntar para o Vinícius se ele tinha ouvido falar disso, então vai ser uma surpresa para ele também, é que o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram…
(04:43) é que a senha do sistema de videovigilância, Vinícius, sabe qual era? Não sei qual. A senha do sistema de vídeovigilância era Louvre. E eles tinham um outro sistema, eu não tentaria essa senha. Ninguém iria colocar essa senha.
(05:13) Eu não tentaria. Não é possível. Mas foi. Uma das senhas era Louvre e eles usavam um outro sistema de monitoramento também, de nome Thales, e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000.
(05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li nos portais, eles se utilizaram dessa senha fraca para desativar o sistema de videovigilância enquanto estavam realizando o furto. Claro que o caso é meio pitoresco, a gente deu risada, mas não é algo engraçado. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Mas é um patrimônio.
(06:14) Claro que há todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, mas isso não vem ao caso agora. O que vem ao caso, e acho que dá para lincar esse caso meio pitoresco com as nossas temáticas aqui, é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de videovigilância. Você tem casos que às vezes isso não está bem dentro da TI, não é gerenciado pela TI, fica numa zona meio…
(06:48) Fica num limbo. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. Isso acaba ficando no colo da TI e aí vêm aquelas demandas de: “Tem que abrir para acesso remoto, quero acessar de casa”. Aí às vezes você vai e o cara: “Olha, melhor não”. “Não, mas eu quero”.
(07:12) Daí vem de cima, a pessoa quer acessar. Aí libera, acessa, depois esquece que isso existe e fica lá o acesso. Você imagina o quão importante é isso para o museu mais importante do mundo? A segurança física. Claro. A segurança física ali é essencial nesse caso.
(07:36) São objetos dos mais variados que estão fisicamente guardados, sob a guarda do Louvre. E nem sempre os objetos pertencem ao museu, eles podem estar momentaneamente cedidos. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Mas voltando para a segurança, Vinícius, às vezes fica…
(08:16) quase como uma questão de zeladoria. Você tem dois problemas aí. Primeiro, o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até se pensa: “Não, mas ninguém teria a audácia de…”. Sim, isso de fato aconteceu.
(08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também não podemos esquecer que imagens de vídeo que envolvem pessoas, ou seja, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertas pelas proteções da LGPD.
(09:04) Então, é algo bem crítico. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação à LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai se estender inclusive para situações também menos observadas, que é a questão dos condomínios. A gente até falou um pouco aqui sobre biometria nos condomínios, mas se insere nesse grande mundo da…
(09:33) segurança física dentro da segurança da informação. Sem dúvida. E a gente tem aquelas questões de vigilância em cidades. O pessoal quer câmeras em ambientes públicos para saber de todo mundo.
(09:52) Numa cidade grande até dá um certo anonimato. Eu digo um certo, porque tem muita gente. Mas logo isso vai ser resolvido, já está sendo resolvido com a IA rastreando e reconhecendo todo mundo, não importa o número de pessoas.
(10:11) Mas em cidades menores, como por exemplo Três de Maio, com 25.000 habitantes, ou cidades ainda menores que tem aqui na volta, se você põe um sistema desses, sabe quem foi falar com quem, a que horas. As nossas cidades, que são pequenininhas, têm uma ou duas ruas principais. Para ir a qualquer lugar, você passa nessas ruas, e tendo algumas câmeras ali, já consegue saber quem está falando com quem, quando. Isso em época de eleição, por exemplo, é extremamente útil. E essas câmeras com…
(10:44) reconhecimento do OCR. Inclusive a gente já falou sobre isso aqui em algum episódio passado, acho que sobre o caso Córtex. Uma série de problemas e também basicamente ou virtualmente você consegue saber onde os carros estão e, consequentemente, onde na grande maioria das vezes os seus donos também estão. Um problema de vigilância mesmo. Virando a chave agora para a Meta, Vinícius, e isso saiu, deixando bem claro que nós vamos agora refletir aqui, replicar ou reproduzir uma notícia, um furo dado…
(11:24) pela Reuters, que revelou uma informação muito crítica sobre a postura da Meta envolvendo anúncios fraudulentos. Ora, sério? Pois é, sério. Aqui a gente vai falar de informações que vazaram, que a Reuters teve acesso, informações de relatórios internos da Meta.
(11:51) É possível dizer que no nosso cotidiano, eu principalmente, já vi muitos anúncios de fraude no Instagram. O Facebook eu não acesso mais, mas no Instagram já vi muito. Já tive familiares e amigos que caíram em golpes de compras feitas por anúncios no Instagram.
(12:11) Então, é um negócio mais ou menos conhecido do brasileiro, que está bastante acostumado a reagir a golpes dos mais variados possíveis, e a gente começa a ficar calejado. Esses dias eu estava alugando um Airbnb e a dona falou: “Ah, me passa o teu e-mail para eu conversar”. Eu já fiquei ressabiado.
(12:35) Disse: “Não, vamos manter a conversa por aqui, por dentro da plataforma mesmo. Eu acho que é mais seguro”. E a pessoa: “Não, tudo bem, continuamos por aqui”. Mas o brasileiro… porque a ideia de muitos desses golpes é tirar a pessoa do canal oficial para levá-la para outro canal. O que eles descobriram desse documento confidencial que vazou? Que em 2024 eles fizeram uma projeção de que 10% dos lucros de anúncios que a Meta teve em todo o ano vieram de anúncios com golpes e vendas de bens proibidos, remédios falsificados, substâncias proibidas e golpes mesmo…
(13:12) Scams. Isso implicou em 15 bilhões de anúncios fraudulentos, o que representou 16 bilhões de dólares. O que a Meta estornou e não aceitou mais fazer os anúncios? Não. Eles não fizeram isso. Eles ficaram com esses 16 bilhões. Coisas como cassinos ilegais, produtos médicos proibidos, extorsões sexuais, contas falsas fingindo ser celebridades e coisas do gênero.
(13:47) A grande questão aqui que me parece que ficou claro é a forma como a plataforma se comportou diante disso. Ou seja, ela sabia que parte da sua renda vinha de fraudes. Ela sabia que essas fraudes estão prejudicando pessoas. Não é algo inofensivo, é algo que causa danos dos mais variados.
(14:11) Se você for falar em extorsão sexual, esse negócio é seríssimo. Muito mais sério do que cassino ilegal, por exemplo, mas que também é sério. E isso me parece que é o grande problema. Eles tinham conhecimento. Esse é um outro ponto. A grande maioria desses anúncios, segundo a própria Reuters, eram suspeitos o suficiente para serem detectados pelos próprios sistemas que eles tinham para identificação de fraudes.
(14:42) Só que eles só banem os anúncios quando há 95% de certeza de que há uma ilegalidade. E mais, a forma como o algoritmo de personalização que a Meta utiliza para te mostrar novos anúncios com base nos que você clica. Porque aquela coisa, todo mundo sabe como é.
(15:02) Você vai clicar em sapato, camisa, sei lá, relógio. O Instagram vai ficar te mostrando essas coisas. Por quê? Porque você tem uma personalização ali. O que eles descobriram é que quem clica nesses anúncios fraudulentos ficaria, por conta do funcionamento do algoritmo, sujeito a receber mais anúncios fraudulentos ainda por conta da personalização. Uma vez feito…
(15:28) É bem curioso, porque é o tipo de comportamento que, se você sabe que aquele anúncio é fraudulento, poderia não recomendar mais anúncios, mas não é o que acontece. O porta-voz da Meta, Andy Stone, disse que os documentos vistos pela Reuters, abre aspas: “Apresentam uma visão seletiva que distorce a abordagem da Meta em relação a fraudes e golpes”.
(15:58) A estimativa interna da empresa de que obteria 10% da sua receita de 2024, proveniente de golpes e scams, era aproximada e excessivamente inclusiva. E a empresa ainda determinou que o número real era menor, porque a estimativa incluía muitos anúncios legítimos também. Qual o problema além do evidente? O problema aqui é a falta de regulação e uma consequência direta de como é difícil contar com a responsabilidade social de uma empresa de grande porte, sobretudo de uma Big Tech hoje, porque…
(16:34) a influência dessas empresas na nossa vida é cada vez maior, mais frequente e mais intensa. A gente sequer sabe mais, Vinícius, se o que a gente está comprando é aquilo que a gente quer mesmo ou se está sendo influência dos nossos hábitos de navegação e de uso de internet. É algo que já virou, não dá mais para saber. Porque você vai pesquisar no YouTube sobre um negócio, aquilo vai começar a aparecer em outra plataforma e, quando você vê, já comprou e coisas relacionadas. Esse é um problema. Esses documentos e a…
(17:11) reportagem da Reuters é super completa. E o que dizem é que esse comportamento da Meta permitiu que eles se tornassem um pilar de uma economia mundial de fraude. Ou seja, é por meio deles que esse tipo de fraude está se ampliando no mundo inteiro.
(17:36) Os próprios relatórios internos da Meta diziam que eles reconheciam que era mais fácil publicar anúncios fraudulentos na Meta do que no Google. Eles fizeram uma análise de custo-benefício, e a gente sabe como fazer análise de custo-benefício, sobretudo nos Estados Unidos, é complicado, porque lá as multas para esse tipo de manejo são bem altas, bem punitivas mesmo.
(18:03) Então, o que eles fizeram? Eles sabiam que multas viriam. Tinham a noção de que poderiam ser multados, mas as multas seriam muito menores do que o lucro que eles teriam com a aceitação de anúncios fraudulentos. Vamos lá, 10% da renda com anúncios. Além do que, nesse meio tempo, eles despediram funcionários que lidavam com esses setores internos de fraude. E pior, ignoravam 96% dos avisos de fraude.
(18:34) Sabe quando você vê o anúncio, denuncia e depois recebe uma mensagem: “Ah, verificamos aqui e não tem nenhum problema”? Pois é, segundo os dados vazados e segundo a Reuters, isso aconteceria em 96% dos casos. E o que eles ainda fizeram para terminar? Eles tinham uma lista interna do que se chamava “os scamiest scammers”. Os scammers mais scammers.
(19:07) Os que aplicaram mais golpes, os piores entre os piores. E o que a Reuters verificou? Que meses depois desse relatório que vazou, cinco dessas contas chamadas de “scamiest scammers” ainda estavam no ar. E qual foi a estratégia deles para diminuir essas publicidades? Porque eles sabiam quem eram, sabiam quais eram.
(19:53) Foi cobrar mais daqueles que tinham suspeitas de fraude. Então eles faziam os “penalty bids”, ou seja, como se fosse um leilão. Quando identificavam que tinha o potencial de ser fraudulento, cobravam mais dessas contas. Essa é a história. A gente vai falando e parece que cada vez fica pior. Mas essa história, como sempre, ficam aqui os links, e você pode, se quiser se aprofundar, dar uma olhada nessa extensa reportagem da Reuters que explica um pouco dessa dinâmica de anúncios fraudulentos na internet e talvez sirva…
(20:29) para a gente entender o porquê estamos recebendo com tanta intensidade anúncios fraudulentos nas redes da Meta. Perfeito, Guilherme. Trago agora a minha única notícia de hoje. O que temos é o seguinte:
(20:53) a tão esperada atualização do OWASP Top 10. Não está ainda finalizada, é um “release candidate”. Eles prometeram para 2025. Estamos com um “release candidate”, ainda em 2025. Então, vamos ver se até o final do ano essa versão se torna a versão final. Estávamos com o OWASP Top 10 sem atualização desde 2021.
(21:26) E então agora houve a atualização. Vou dar uma geral aqui, Guilherme, já que temos planos de entrar em maiores detalhes em cada um desses itens. Mas só para termos uma noção da dança das cadeiras. Eu até preparei aqui para compartilhar com o pessoal que estiver acompanhando no YouTube. Esta é a versão “release candidate 1”. Não quer dizer que seja o último “release candidate” antes da versão final, pode haver o dois ainda.
(22:01) Mas, em essência, vou destacar aqui. Vou de baixo para cima ou de cima para baixo? O que você prefere, Goulart? Tanto faz.
(22:22) Fique à vontade. Vou de baixo para cima. O A10 de 2021, que era o “Server-Side Request Forgery” (SSRF), acabou sumindo, foi retirado. É algo que foi unido ao “Broken Access Control” (Controle de Acesso Quebrado). O SSRF é um tipo de ataque específico. Eles até explicam a decisão de retirá-lo e unir a outro item porque estava meio fora do lugar. Então, o A10 de 2021 some…
(23:11) e nós temos um novo A10 em 2025, que é o “Tratamento Inadequado de Condições Excepcionais”. Este item é novo. Cada um desses itens tem uma série de CWEs…
(23:50) que é do MITRE, um catálogo de tipos de fragilidades conhecidas, não de vulnerabilidades específicas de um software. E eles, em cada um desses itens, agregaram uma série dessas vulnerabilidades.
(24:13) O que tem no A10 essencialmente é tratamento inadequado de erro, erros de lógica, coisas que “falham aberto”, ou seja, algo que, ao não funcionar adequadamente, acaba falhando de tal maneira que deixa algum controle ou acesso simplesmente aberto, e não inacessível, entre outros cenários. O nosso A9 de 2021, “Security Logging and Monitoring Failures” (Falhas de Log e Monitoramento de Segurança)…
(24:53) continuou no nono lugar, porém mudou um pouquinho o nome, virou só “Logging and Alerting Failures”. O A8, “Software and Data Integrity Failures” (Falhas de Integridade de Software e Dados), acabou se mantendo também em oitavo lugar.
(25:25) Em sétimo lugar, as “Falhas de Autenticação”. Antes era “Falhas de Autenticação e Identificação”, agora é só “Falha de Autenticação”, que engloba tudo. Essencialmente, um finalzinho diferente na teoria da segurança. Na verdade, eles englobaram na mesma, porque tem várias situações de sobreposição ali.
(25:46) Para autenticar, você tem que identificar. Então, acabou ficando nesse lugar. O sétimo, o oitavo e o nono lugares se mantiveram exatamente os mesmos de 2021. As mudanças começam daí para cima. Tivemos uma que caiu para quarto lugar. Agora vou pegar os três do meio. Caíram para quarto lugar as “Falhas Criptográficas”, como o uso de algoritmos de criptografia de maneira inadequada, vetores de inicialização errados e outras coisas mais.
(26:25) “Injection” (Injeção), que inclui o SQL Injection e qualquer outro tipo de injeção de comandos. Essa falha veio do terceiro lugar para o quinto. E “Design Inseguro”, que é bem genérico, não são erros de codificação, mas coisas que foram projetadas de forma insegura.
(27:04) Não foi um problema na implementação, foram projetadas de forma insegura, implementadas segundo o projeto, e aí há um problema de segurança. E isso caiu de quarto para sexto lugar.
(27:23) Bom, quem foi então para segundo e terceiro lugares? Antes de dizermos quem está em primeiro, o segundo e terceiro lugares ficaram com “Componentes Vulneráveis e Desatualizados”, que mudou de nome. Estava em sexto lugar, foi para terceiro, e o novo nome é “Software Supply Chain Failures” (Falhas na Cadeia de Suprimentos de Software), que é quando você usa bibliotecas, tanto no momento de construir o software, que às vezes ele baixa de algum repositório na internet…
(28:03) para fazer a construção. Então, tem vários tipos de problemas de “supply chain” que entraram. Veio do sexto para o terceiro lugar, algo importante a ser observado. “Erros de Configuração”.
(28:23) E aqui é muito interessante. Eles citam que, à medida que migramos para a nuvem e passamos a ter a infraestrutura como software que você configura, há cada vez mais erros de configuração. Isso fez o “Security Misconfiguration” vir do quinto para o segundo lugar em 2025. E o número 1, que já está como número 1 há pelo menos dois Top 10s, é o “Broken Access Control” (Controle de Acesso Quebrado), que são falhas gerais de controle de acesso. Desde alterar um ID…
(29:04) para acessar informação que não deveria, até mudar uma flag e conseguir virar administrador em um sistema, ou fazer acesso direto a uma URL e não precisar de autenticação. Tem de tudo ali dentro relacionado a “Broken Access Control”. Esse é o primeiro do Top 10 de 2025 do OWASP. E vem se mantendo.
(29:34) Uma coisa que me chamou a atenção, Guilherme: eles dizem que, na média, 3,73% das aplicações testadas tinham um ou mais dos 40 CWEs que estão nessa categoria.
(30:03) Eu achei muito baixo. Por quê? Porque é muito difícil avaliar uma aplicação que não tenha esse tipo de problema. Baixíssimo. Se fosse 20%, eu diria que é baixo. Vou precisar entender um pouquinho melhor qual foi o conjunto de dados que eles usaram como origem. Eles fazem com base em entrevistas, mas detalham um pouco melhor a base para essa definição, porque é muito baixo. Temos muitos problemas de controle de acesso quebrado.
(30:35) Guilherme, deixa eu só fazer um parênteses. A minha qualidade de vídeo aqui deve estar terrivelmente ruim para você, porque estou te vendo muito mal, e vi que na gravação do último episódio a sua está razoável. É, estou vendo agora, mas está pequenininho.
(30:53) A sua qualidade não está muito boa mesmo. Estou vendo o seu retorno como se fosse 8 bits, sequer consigo ler direito o que está na tela. E não é internet. Depois vou ter que descobrir o que é. Mas falo isso para quem estiver vendo no YouTube.
(31:10) Desculpa se a qualidade estiver como estou vendo aqui, está horrível. Se você puder subir um pouquinho ali, até para quem está no YouTube, para mostrar aquela mudança, achei bem interessante as que subiram. O “Security Misconfiguration” indica tendências do que está acontecendo no mundo. Porque eles ordenam; não são somente 10 categorias, são as 10 que mais aparecem, hierarquizadas da que mais acontece para a que menos acontece. Quando vemos essas mudanças…
(31:47) de ordenamento, o que era o quinto vai para o segundo, o que era o segundo vai para o quarto, e por aí vai. Isso diz muito sobre os ambientes e sobre o que está acontecendo no mundo da segurança. Agora quero te fazer uma pergunta. Para um testador, uma pessoa que vai realizar testes de invasão, para uma empresa como a BrownPipe, qual é o papel do OWASP?
(32:18) Quer fazer? Qual é o papel do OWASP para empresas como a BrownPipe? Cara, primeiro, o OWASP é um norte com relação ao tipo de coisa que é mais comum e, sendo indicado como mais comum, é o tipo de coisa que é mais procurada também.
(32:43) E é uma referência que utilizamos quando fazemos pentest. Não só o Top 10, mas todo o corpo do WSTG do OWASP, porque tem a lista de testes a serem feitos. Mas aqui é importante; é muito interessante quando você encontra uma vulnerabilidade que se encaixa em um desses itens, dizer: “Olha, essa vulnerabilidade que você tem está no Top 10, ou seja, é algo extremamente comum”.
(33:09) Vou ter que mutar um pouquinho. Vai lá. Voltei. Então, é extremamente preocupante quando você tem uma série de vulnerabilidades nos seus sistemas que se encaixam no Top 10. Porque isso é muito importante para quem desenvolve.
(33:37) Porque quem desenvolve, olhando isso aqui, se der uma estudada no Top 10, vai ver pelo menos quais são os erros mais comuns. No final das contas, vulnerabilidade acaba sendo erro de programação. Dificilmente é algo diferente disso. Acontece, mas em geral são erros de programação.
(34:00) Então, se eu pegar por exemplo aqui o “Broken Access Control”, o A01, que é o primeiro, e clicar nele, ele vai me trazer os 25 CWEs mapeados para este item. Tem uma série deles, como “limitação imprópria de um caminho ou de um diretório restrito”, o “Path Traversal”. Cara, esse erro, CWE-22, é o famoso “usar o ponto ponto” para ir para outro lugar, listar o que não deveria estar na internet, gravar onde não deveria ou ler de onde não deveria.
(34:40) Isso você encontra. Esse tipo de coisa faz parte do A01. Tem também, vamos ver, um que seja comum aqui. Permissões incorretas por padrão. Nossa, isso nem se fala. “Improper Access Control”, que é muito genérico.
(35:09) CSRF, não ter proteção contra o “Cross-Site Request Forgery”. Ou seja, eu gero uma requisição de alguma forma, você acessa o meu site, algo que eu controlo, eu te entrego uma requisição pronta para fazer em um sistema que você acessa, você abre essa requisição no seu navegador e ele a executa dentro da sua sessão logada.
(35:28) E aí eu posso criar um usuário… os efeitos são os mais diversos possíveis. Acesso direto é aquele em que eu tento pular interfaces que fazem autenticação para chegar no destino final, e aí eu vou direto no destino final e consigo acessar sem autenticação.
(35:50) E por aí vai. Tem várias coisas aqui dentro. São erros comuns que, se a equipe de desenvolvimento estiver antenada, já vai evitar muita dor de cabeça e reduzir um monte de coisas que quem vai fazer pentest acaba encontrando.
(36:10) Agora, uma coisa muito interessante, Guilherme, fazendo o jabá para a BrownPipe. Quando a gente faz pentest, não pegamos uma ferramenta qualquer, disparamos, vemos o que ela encontra e acabou. Porque, em geral, ela vai encontrar aquelas coisas muito óbvias e que estejam acessíveis.
(36:27) Se fizer um “Black Box” com uma ferramenta dessas, provavelmente não vai encontrar nada. Você recebe um relatório dizendo: “Foram executados não sei quantos milhares de testes e não foi encontrado nenhum problema relevante”. Na BrownPipe, a gente sempre recomenda que sejam feitos testes “White Box”.
(36:51) Temos inclusive um vídeo sobre isso que vamos compartilhar no show notes. Já percebemos, em razão dos movimentos do sistema bancário, bancos demandando que suas empresas fornecedoras façam testes “White Box” e que não podem ser automatizados. A BrownPipe já faz isso há muito tempo.
(37:20) Óbvio que usamos ferramentas também. Ou seja, tem que usar o que todo mundo utiliza para encontrar o “comunzão”, mas nós prezamos por um trabalho personalizado, humano, “human in the loop”, para conseguir catar coisas que a ferramenta ainda não consegue. Talvez no futuro venha a conseguir, mas por enquanto não.
(37:44) Então, se quiser algo realmente certeiro, bem documentado e que você sabe que foi revisado e não simplesmente rodado por uma ferramenta qualquer, a BrownPipe tem o serviço certo para você de pentest. Fim do jabá, Guilherme. Certo. Estou te mandando o link para saber se é este vídeo mesmo a que você se referiu, porque se for, é só colocar no show notes para publicarmos depois. O vídeo é… você me mandou um link. É este vídeo? “Modelagem de Ameaças vs. Pentest”, eu acho.
(38:20) Não é esse. Mas se não for, vamos colocar esse também. E eu vou pedir para a Camila me passar o vídeo do Pentest mesmo. Bom, para terminar, Vinícius, inclusive tinha uma notícia nova. Às vezes a pauta vai sendo construída durante o episódio.
(38:49) Lembrei, pelo menos o café. Sim, é o café. Tinha lido isso ontem e me chamou a atenção, acho que podemos desenvolver depois e até saber se o próprio Bruce Schneier está certo. Ele disse, em tese, para parar de usar esses browsers “agênticos”. Não estou achando agora, mas, para parar de usar, porque acaba constituindo um tipo de vulnerabilidade que, segundo ele, seria implícita, estaria no…
(39:30) core da inteligência artificial, que seria a impossibilidade de ela conseguir distinguir instruções legítimas de instruções que não são legítimas. Não vou conseguir achar aqui, mas de qualquer forma, fica para reflexão e talvez para um futuro episódio.
(39:50) Essa questão que já vem se colocando, das IAs lançando seus browsers com agentes, e como essas explorações podem… Ele disse que não é um probleminha. Ele disse que é “o” problema, segundo Bruce Schneier. Mas, fecha parênteses, só para deixar isso destacado.
(40:12) O próximo tópico é sobre a simplificação do GDPR. Nós estamos no momento, e quem acompanha o Segurança Legal sabe que mundialmente a questão da conformidade com normas de proteção de dados e também com a nova dinâmica da IA tem colocado pressões regulatórias no mundo inteiro.
(40:46) Pressões regulatórias em qual sentido? Contra os próprios estados que tentam regular essas tecnologias, porque muitas das Big Techs se posicionam no sentido de que “as regulações são duras demais, é difícil de empreender, está afetando o desenvolvimento de novas tecnologias”.
(41:11) Então, esse caminho trilhado sobretudo pelos Estados Unidos também chega na União Europeia, com o que chamaram de “digital check”, que é uma tentativa da Comissão Europeia de simplificar o GDPR. Teria vazado uma versão. Pelo que entendi, são tantas coisas para a gente ler, documentos de 150 páginas, mas seriam alterações que já estariam sendo encaminhadas e que poderiam culminar, se aprovadas, na…
(41:47) em uma simplificação do GDPR. Algumas das alterações propostas: primeiro, seria uma alteração na própria concepção do que é dado pessoal, que é o núcleo de qualquer legislação de proteção de dados. É a definição mais importante. Sem dúvida, porque é o objeto da lei. Se você não definir claramente o objeto…
(42:16) Assim como no direito do consumidor a relação de consumo é o objeto da proteção, aqui são o dado pessoal e as situações em que dados pessoais são tratados. A ideia seria alterar essa concepção para afastar a aplicação, por exemplo, no caso de uso de pseudônimos.
(42:35) Então, pseudônimo, eu incluo um código para o usuário e a lei não se aplicaria. E a gente sabe que atribuir um código a uma pessoa é uma das formas… sobretudo quando esses códigos transitam em ecossistemas diferentes, a coisa mais fácil é identificar aquela pessoa por código, principalmente nos telefones modernos.
(43:00) Enfim, mudar também o regime de dados pessoais sensíveis. A proteção dos dados sensíveis só ocorreria se o tratamento criasse riscos significativos ou que revelasse diretamente situações sensíveis, no sentido de afastar potenciais tratamentos de dados sensíveis que não causassem esses riscos. Ou ainda, afastar proteções em situações de comparação, referência cruzada ou dedução.
(43:34) Esses dois aqui me parecem que desmontam muito o regime de proteção por mexer no… É fazer uma mudança genética na lei. É mudar a constituição genética dela, se fosse fazer uma comparação biológica. Sempre deixando claro que biologia talvez seja a disciplina mais longe da minha área de conhecimento.
(43:57) Sabe aquela coisa de “baleia é mamífero”? Madeira está longe, hein? Sei que baleia é. Mas esses dias teve uma discussão se tubarão era peixe. Eu sabia que tubarão era peixe, cartilaginoso inclusive.
(44:22) Então, limitações nos direitos dos titulares. O titular só poderia exercer seus direitos para propósitos de proteção de dados. E aí entra o pessoal do NOYB (None of Your Business), do Max Schrems lá da Europa, que é um think tank, uma ONG de proteção de dados e segurança. E eles estão se posicionando muito contra essa alteração.
(44:47) Na visão deles, seria uma forma de barrar a obtenção de dados do próprio titular em situações como direito do trabalho, retificações e apagamentos em situações de crédito. Ou seja, seria uma forma de diminuir o alcance da pessoa poder obter seus próprios dados em circunstâncias que fugissem diretamente de tratamento de dados pessoais. Também, isentar os controladores de fornecer informações de privacidade… vou ler aqui: “Quando os dados pessoais…
(45:16) tiverem sido coletados num contexto, em uma relação clara e circunscrita com um controlador que exerça uma atividade não intensiva em dados e houver motivos razoáveis para presumir que os titulares dos dados já possuem as informações necessárias”. É um agregado de possibilidades que, basicamente, isenta o controlador de dar informação, presumindo que você já a tem. Isso quebra totalmente o princípio da transparência e o princípio da informação, que já é tão difícil de exercer diante…
(45:51) das dificuldades que hoje já existem para obtermos informações muitas vezes. E o choque maior, além desses outros que me preocupam, seria colocar, dentro do legítimo interesse, que é uma das hipóteses de tratamento, o uso de dados pessoais para treinamento de IA. Isso constituindo um legítimo interesse. A operação de sistemas de IA para as empresas, diante dessa abertura, seria quase como um coringa.
(46:32) Ou seja, “eu posso tratar dados pessoais para treinar meus sistemas de IA porque eu teria o legítimo interesse para isso”. E aí também desmontaria todas aquelas situações que vimos, por exemplo, aqui no Brasil no caso da Meta, de querer treinar o Meta AI com os dados de todo mundo.
(46:54) E aí teve aquela história em que a ANPD se envolveu, veio a informação de que eles avisaram e depois você tinha que fazer o opt-out. Bom, mesmo diante de legítimo interesse, tem que avisar. Mas isso afastaria toda a problemática que se discute hoje de você autorizar ou não o uso dos seus dados para treinamento de modelos de IA. Basicamente, o que o Max Schrems colocou foi que, passando essa e algumas outras alterações propostas, isso seria um enorme retrocesso da proteção de dados na Europa inteira. A ideia seria…
(47:28) facilitar e ajudar pequenos negócios. Essa é a proposta. E veja, eu acredito, só para deixar bem claro, fazendo um contraponto, que é possível simplificar legislações de proteção de dados e que, para pequenas empresas, pode ser muito desafiador respeitar esse tipo de legislação. Aqui no Brasil, por exemplo, temos os agentes de tratamento de pequeno porte com regras flexibilizadas.
(47:59) É um exemplo interessante. Mas essas mudanças, como estão sendo feitas, alterando o código genético da norma, eu vou na linha do Max Schrems, que diz que só iria favorecer as Big Techs.
(48:19) E por que isso nos interessa? “Ah, mas eu estou aqui no Brasil”. Porque nós seguimos esse modelo europeu, nos inspiramos nele. E isso acontecendo lá, acredito que os reflexos apareceriam aqui bem rapidamente. Porque se mudou lá, a gente tem que se adequar, por causa daquele reconhecimento do mesmo nível de proteção do Brasil.
(48:50) Então, acho que seria quase como um efeito em cadeia. É algo para ficarmos atentos. Tem também tentativas de simplificar o AI Act, de adiar a entrada em vigor, mas eu vou na mesma linha do Max Schrems. Acho bem perigoso e me parece que a ideia é, sobretudo, favorecer a IA, ou seja, retirar possíveis controles que os usuários ainda teriam nesses contextos de uso de dados para treinamento.
(49:17) Beleza. Essa foi longa. Você quer fazer café expresso e café frio? Pois é, eu lembrei que já fazia um tempão que não fazíamos isso. Se você está nos ouvindo e não sabe do que estamos falando, nos cafés antigos, pegávamos uma das notícias e, quando era boa, dávamos um café expresso, e quando achávamos que não era tão boa… Não necessariamente para a notícia.
(49:48) Não precisava nem ter sido notícia, era para o agente da notícia, para a pessoa ou para uma empresa. Para alguma coisa. Para quem seria o café expresso, Guilherme? O Café Expresso é para o Dia Nacional da Proteção de Dados, em homenagem ao Danilo Doneda. Acho que é um café expresso para essa situação.
(50:15) E o café frio? É sempre difícil dar o café frio, porque é uma crítica. O café frio vai para os administradores do sistema de monitoramento do Louvre, que usaram a senha “Louvre”.
(50:41) É um café que ficou na rua no inverno parisiense e gelou. Pode ser. Acho que é um bom recomeço para o café frio e o café expresso. A gente não pode esquecer. Um belo dia a gente parou e nunca mais trouxe de volta.
(51:02) Mas, fora a brincadeira, gente, falando sério, esse caso é bem importante. Prestem atenção nos sistemas de videomonitoramento, nesses sistemas que às vezes estão largados, que não são de ninguém, que têm acesso remoto e que, dependendo do contexto, podem ser usados para situações bem sérias. Não é só quem tem joia que precisa disso.
(51:19) Bom, então era isso. Esperamos que tenham gostado do episódio de hoje. Aguardamos todos e todas no próximo episódio do podcast Segurança Legal. Até a próxima. Até a próxima.
Podcast: Play in new window | Download
Subscribe: RSS