2 pontos por GN⁺ 2025-08-21 | 1 comentários | Compartilhar no WhatsApp
  • O site de solicitação de visto dos EUA estaria tentando realizar uma varredura de portas da rede do usuário
  • Alguns usuários observaram tráfego de rede inesperado ao acessar o site
  • Surgiu controvérsia sobre o objetivo dessa varredura de portas e questões de segurança
  • Alguns supõem que isso seja um procedimento de verificação para fins de segurança
  • Crescem as preocupações com privacidade e com acesso excessivo à rede

Controvérsia sobre a varredura de portas de rede no site de solicitação de visto dos EUA

Vários usuários que acessaram o site de solicitação de visto dos EUA descobriram que o site tentava realizar uma varredura de portas na rede do usuário. Por causa disso, os usuários confirmaram por meio de logs e outros registros que, ao acessar o site pelo navegador, ocorria um tráfego de rede diferente do habitual.

Principais dúvidas

  • Não houve orientação clara sobre se essa tentativa de varredura de portas faz parte de um procedimento de verificação para reforço de segurança ou se existe outro objetivo
  • Especialistas em segurança mencionam a possibilidade de esse método ser uma checagem prévia para filtrar bots maliciosos, servidores proxy ou usuários de VPN
  • No entanto, cresce a controvérsia sobre se acessar portas de rede sem consentimento prévio em um site público que recebe informações pessoais sensíveis fere os princípios de privacidade

Reação da comunidade e preocupações

  • Usuários comuns expressaram desconforto com o acesso não intencional à rede
  • Como a varredura de portas se assemelha a uma atividade maliciosa, surgem dúvidas sobre a confiabilidade do site
  • Alguns apontam que a controvérsia aumenta ainda mais por se tratar de um site oficial do governo dos EUA

Questões de segurança e privacidade

  • A exploração de portas de rede realizada sem permissão do usuário pode representar uma violação excessiva de direitos
  • É necessário discutir a eficácia técnica desse método e se ele realmente contribui para a segurança
  • Também são apontados problemas como a ausência de diretrizes relacionadas e a insuficiência dos procedimentos de consentimento do usuário

Conclusão e implicações

Este caso sugere que, à medida que sites de órgãos públicos adotam novas abordagens técnicas com objetivo de segurança, torna-se necessário buscar um ponto de equilíbrio entre privacidade e segurança técnica. Também destaca que uma comunicação clara com os usuários e a garantia de transparência serão tarefas importantes daqui para frente.

1 comentários

 
GN⁺ 2025-08-21
Comentário do Hacker News
  • Há todo tipo de golpe no processo de solicitação de visto. Desde sites que simplesmente cobram o dobro da taxa até sites que mentem dizendo que o solicitante foi recusado e criam documentos falsos em nome dele. Então, parece que o sistema de vistos tenta verificar se o usuário é uma pessoa real ou um golpista usando servidor intermediário ou canal C2
    • Para um site realmente horrível, é uma abordagem de defesa bem inteligente. Minha parceira é cidadã turca e solicitou um visto recentemente; depois de preencher tudo cuidadosamente por mais de 30 minutos, a sessão expirou e ela perdeu tudo. Se você não criou uma conta ou não anotou o ID atual da solicitação, não há como recuperar. No processo, houve até redirecionamentos para sites suspeitos que não eram .gov; no começo achei que fosse golpe, mas na verdade não era. Dá para entender por que surgem serviços pagos que tornam esse processo de pesadelo um pouco mais fácil. O envio dos documentos relacionados é feito principalmente pela VFS Global, mas essa empresa em si também tem muitos problemas, então formalmente só atua como intermediária e na prática não ajuda muito. Recentemente a UE simplificou o processo de solicitação do visto Schengen para cidadãos turcos, e o motivo foi que os próprios agentes oficiais de vistos estavam aplicando golpes ao vender no mercado paralelo horários “bons” de agendamento. Tanto nos EUA quanto na UE, longos tempos de espera frequentemente fazem as pessoas perderem oportunidades valiosas, como bolsas de estudo. Somando-se a isso pequenos mas complexos problemas, como conversão de caracteres ou questões de codificação, parece haver oportunidade nesse mercado se surgirem agentes de IA que realmente ajudem
    • O sistema de vistos da Índia é parecido. O site oficial .gov.in é difícil até de encontrar, e o visto sai de forma simples por cerca de 10 dólares. Sites golpistas que só são bons de SEO vendem exatamente a mesma coisa por 80 dólares, apenas repassando a solicitação real ao site oficial e embolsando a diferença. Seria bom se o governo indiano bloqueasse esses golpistas, mas aparentemente isso não é prioridade no momento
    • Não sou familiarizado com redes, então fico curioso para saber como um port scan pode detectar que alguém é um golpista
    • Não consigo imaginar como isso seria realmente possível. Se esse tipo de “scan” for executado por JavaScript no lado do cliente, não parece que enviar arquivos para um servidor proxy permitiria detectar algo sobre o proxy
  • Esse recurso vem de um script da F5, e a F5 é uma empresa que vende soluções de segurança anti-bot. (/TSPD carrega um script ofuscado, e isso é um elemento característico da F5)
    https://www.f5.com/
    • TS parece significar TrafficShield, empresa que a F5 adquiriu no passado, e PD provavelmente significa Proactive Defense
  • Só recentemente descobri que existe uma lista padrão do uBlock Origin chamada "Block Outsider Intrusion into LAN". Informação realmente útil
    • Ao verificar a solicitação de funcionalidade no GitHub, fiquei curioso sobre por que esse recurso é necessário. Não entendo muito bem por que o navegador oferece ou deveria oferecer acesso real à rede local. Já vi alguns pedidos desse tipo ao acessar coisas ligadas a sockets, como tráfego mDNS, então imaginei essa possibilidade
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • O simples fato de esse acesso ser permitido é chocante. Fico me perguntando como alguém achou razoável permitir que todo site visitado possa acessar minha rede local
    • O uBlock Origin vem removendo cada vez mais funcionalidades em JS; queria saber se essa função também existe na versão lite
    • Ativar essa opção aumentou muito meu nível de segurança. Obrigado a todos
    • Eu também não sabia que isso existia, mas no meu notebook e no navegador mobile já estava ativado
  • Não entendo como os navegadores permitem isso, nem por que não exigem consentimento do usuário como no acesso ao microfone. O fato de um site arbitrário poder fazer port scan na minha LAN é perigoso demais para ser aceitável. Em vez de tratar isso como um “recurso”, não deveria ser considerado uma vulnerabilidade de segurança?
    • No Chrome esse acesso não é permitido. Serviços de rede local precisam de opt-in para serem acessados por sites externos(
      https://github.com/WICG/private-network-access
      ), e isso está sendo convertido para um modelo baseado em consentimento do usuário(
      https://github.com/WICG/local-network-access
      ). Há controvérsia sobre o PNA já ter sido realmente implantado, mas eu mesmo passei por isso no Chrome stable há anos, então não sei exatamente qual é o estado atual. O Firefox não oferece esse tipo de acesso. Suponho que por falta de recursos de desenvolvimento
  • Eu uso uMatrix, que por padrão bloqueia toda conexão exceto para o site solicitado e o domínio superior. Por exemplo, ao visitar mail.yahoo.com, preciso permitir manualmente yimg.com etc., então esse tipo de port scan/profiling não funciona. No começo era muito inconveniente, mas depois de alguns meses expandindo a whitelist, ela já cobre 90% dos sites que visito. No meu sistema, ceac.state.gov/genniv/ tenta acessar captcha.com, Google Analytics, Tag Manager, 127.0.0.1 e "burp" (um hostname local que não existe na minha rede). Curiosamente, no console do navegador as tentativas para localhost ou burp quase não aparecem. Depois de permitir 127.0.0.1 e olhar com tcpdump, encontrei tráfego tentando se conectar à porta 8888 (essa porta não está aberta)
    • Fico curioso se o uMatrix também bloqueia o pixel de rastreamento do Facebook ou o substituto recente, o Conversions API Gateway. O Conversions API Gateway é hospedado em forma de contêiner sob o seu próprio domínio (inclusive o domínio principal), e do lado do servidor envia dados do usuário ao Facebook. Basta inserir o JS e todos os dados são enviados
    • O uMatrix está atualmente arquivado (sem suporte), e hoje o recomendado é usar uBlockOrigin com as configurações avançadas ativadas (essa estrutura absorve as funções do uMatrix). Se quiser bloquear com mais força, também é recomendável configurar o hard mode e usar atalhos para alternar para o modo relax blocking. Também vale muito a pena usar listas de filtros (especialmente yokoffing/filterlists e listas regionais/por idioma)
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Parece que a intenção é verificar se o Burp Suite está conectado ao app web
    • Fico curioso sobre como eles escondem da aba de rede as requisições para 127.0.0.1
    • burp é de fato o Burp Suite mencionado em
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      . Parece ser uma tentativa de dificultar a análise do site
  • Algumas extensões exigem a permissão “acessar dados de todos os sites”. A menos que seja uma empresa famosa ou um desenvolvedor confiável, não entendo como alguém pode conceder esse tipo de permissão. Em especial, a extensão "Hacks and Hops" usa como homepage o domínio inexistente
    https://g666gle.me/
    . Por mais atraente que pareça, eu jamais instalaria algo assim
    • Esse fenômeno contraditório é quase universal em fóruns como o HN. Dá vontade de pensar que quem instalou essa extensão enlouqueceu. Muita gente fica obcecada demais com a fantasia de que dá para “instalar privacidade” e acaba baixando rootkits disfarçados de VPN e extensões aleatórias. Se você instalou uma extensão golpista, a medida mínima quase seria incendiar o PC, atropelá-lo com um carro, recriar todas as contas bancárias e redefinir as senhas em um dispositivo totalmente novo
  • Esse tipo de port scan, device fingerprinting e anti-anonymity SaaS acontece em muitos sites. Ebay e Facebook também fazem isso. Mas neste caso o objetivo principal parece ser bloquear o próprio bloqueio de anúncios. Entra em cena um fingerprint ofuscado de 1 MB, junto com port scan e até WebGL. De forma curiosa, há uma tentativa de localizar o caminho do Burp Suite
    • Fico curioso sobre como posso fortalecer a segurança da minha rede contra esse tipo de ataque
    • Já vivi exatamente o mesmo tipo de port scan em um site de cadastro de novo cartão
  • Esse “port scan” desta vez parece ter sido apenas uma tentativa de conexão local com 127.0.0.1:8888. Não sei exatamente para quê, mas sites governamentais às vezes usam esse método para se comunicar com software nativo de assinatura eletrônica de documentos. Fico curioso se há também tentativas de conexão com outros IPs
    • Isso também pode acontecer por causa de leitor de cartão, servidor de depuração ou erro do desenvolvedor. Na minha experiência, já houve deploy com URLs embutidas apontando para localhost em vez do host externo no ambiente de desenvolvimento. Eles também podem estar usando a porta 8888 para um servidor local de desenvolvimento, o que não seria tão surpreendente
    • É bem possível que isso seja uma tentativa de conexão para coleta de dados e rastreamento, caso exista um servidor web na máquina local do usuário. No passado, Facebook/Meta também foi flagrada rastreando no Android de forma parecida (rastreamento via servidor web por Messenger/Instagram). Referências abaixo
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • Nessa situação, pode até ser natural que o site tente acessar portas locais para coisas como leitor de cartão. Em alguns ou muitos países da UE, usa-se o chip do cartão de identidade ou do documento do veículo para autenticação e acesso a serviços administrativos; antes isso só funcionava com Java + Internet Explorer, mas desde que o IE foi descontinuado e houve migração para Chromium, não sei como isso funciona e não usei mais recentemente
    • Hoje em dia, é preciso instalar um serviço local que faz a ponte entre o navegador e o driver do smart card. O papel que antes era feito por um applet Java agora fica com esse serviço de bridge. O driver específico do cartão e o serviço de bridge são instalados juntos
    • Uma vez me pediram para ler o chip NFC do passaporte usando um app de iPhone/Android. Parece ser o substituto moderno para IE/Java
  • Chega a ser meio vergonhoso eu não saber dessa prática. Fico curioso se existem outros objetivos de abuso além de fingerprinting