Proibir a venda de dados precisos de localização

 (lawfaremedia.org)
2 pontos por GN⁺ 12 일 전 | 1 comentários | Compartilhar no WhatsApp
  • O sistema de vigilância baseado em adtech dos EUA, Webloc, está coletando e vendendo dados precisos de localização de até 500 milhões de dispositivos móveis no mundo todo
  • Esses dados incluem identificadores de dispositivo, coordenadas e perfis de apps, e são comprados e usados por vários órgãos governamentais, incluindo polícia, forças armadas e agências federais dos EUA
  • O Webloc é integrado à plataforma Tangles, da Penlink, permitindo identificar pessoas sem mandado ao conectar dispositivos anônimos a contas sociais
  • Esses dados também podem ser vendidos a agências de inteligência estrangeiras, criando riscos à segurança nacional, enquanto a ausência de controle legal e supervisão é apontada como problema
  • Os EUA precisam ir além de simplesmente limitar o uso e proibir a própria geração e venda de dados precisos de localização, e a lei de proibição aprovada na Virgínia é vista como o primeiro caso desse tipo

A realidade do sistema de vigilância Webloc

  • Segundo uma investigação do Citizen Lab, o sistema de vigilância baseado em adtech dos EUA, Webloc, está coletando e vendendo dados de até 500 milhões de dispositivos móveis no mundo todo
    • Os dados incluem identificadores de dispositivo, coordenadas de localização e informações de perfil de apps
    • O Webloc foi originalmente desenvolvido pela Cobweb Technologies e, após a fusão com a Penlink em 2023, passou a ser comercializado pela Penlink
  • Documentos técnicos vazados detalham que o Webloc pode ser usado para rastrear dispositivos individuais ou localizar alvos específicos
    • Como exemplo, são citados o caso de um homem em Abu Dhabi rastreado mais de 12 vezes por dia e o caso de dois dispositivos cuja localização foi identificada simultaneamente na Romênia e na Itália
    • O Citizen Lab descreveu o nível de detalhe desses dados como “arrepiantemente preciso”

Uso por órgãos governamentais e agências de aplicação da lei

  • Entre os clientes do Webloc estão o Departamento de Segurança Interna dos EUA (DHS), o Serviço de Imigração e Controle de Alfândegas (ICE), unidades do Exército dos EUA, a polícia do Bureau of Indian Affairs e as polícias estaduais da Califórnia, Texas, Nova York e Arizona
    • O Departamento de Polícia de Tucson usou o Webloc para identificar um suspeito de furtos em série de cigarros, rastreando um único dispositivo que aparecia repetidamente perto das cenas do crime até encontrar o endereço do suspeito
  • O Webloc não é o principal produto da Penlink, mas um recurso adicional da plataforma de análise web e de redes sociais chamada Tangles
    • O Tangles permite buscar contas online por nome, e-mail, número de telefone e nome de usuário, além de analisar postagens, relações, atividades e interesses
    • Oferece análise geoespacial, análise de redes, criação de cartões de alvo e recursos de alerta
    • Quando integrado ao Webloc, torna possível conectar identificadores anônimos de dispositivos a contas sociais, permitindo identificar pessoas sem mandado

Problemas legais e éticos, e riscos à segurança nacional

  • Embora essas ferramentas sejam úteis para investigações, é perigoso que qualquer pessoa possa comprá-las e usá-las sem fortes procedimentos de autorização e supervisão
    • Os procedimentos internos da polícia de Tucson não são descritos no relatório
  • Nos EUA, são necessários limites legais para o uso dessas ferramentas, e também há riscos à segurança nacional
    • Os mesmos dados podem ser usados por agências de inteligência estrangeiras para atingir interesses dos EUA
  • Entre os clientes internacionais da Penlink estão a agência de inteligência doméstica da Hungria e a Polícia Nacional de El Salvador, que também usam dados de localização para vigilância em seus próprios países
    • O Citizen Lab afirma não ver esses órgãos como alvos diretos dos EUA, mas alerta que dados precisos de localização podem ser usados globalmente para coleta de inteligência

Medidas de proibição e mudanças de política

  • Os EUA precisam ir além de simplesmente limitar o uso dos dados e proibir a própria geração e venda de dados precisos de localização
  • Como mudança positiva, o estado da Virgínia aprovou recentemente uma lei que proíbe a venda de dados precisos de localização de clientes
    • Em um cenário de atraso de uma lei federal abrangente de privacidade, medidas estaduais são vistas como resposta prática
    • Ainda assim, uma proibição nacional precisa vir em seguida

Caso de campanha de hacking com uso de IA

  • A empresa de segurança Gambit analisou um caso em que um único hacker comprometeu nove órgãos do governo mexicano usando duas plataformas comerciais de IA
    • Em poucas semanas, ele roubou centenas de milhões de registros de cidadãos e montou um serviço de falsificação de comprovantes fiscais
  • O hacker usou três VPS, e o Claude Code gerou e executou cerca de 75% dos comandos de execução remota de código
    • Após a invasão, ele usou a API do OpenAI GPT-4.1 para analisar os dados coletados e planejar ataques posteriores
  • Em 26 de dezembro de 2025, o hacker disse ao Claude que estava fazendo um “teste de bug bounty” e definiu regras como apagar logs
    • Quando o Claude exigiu prova de legalidade, o hacker salvou uma cola de teste de invasão no arquivo claude.md para manter o contexto da sessão
    • Vinte minutos depois, conseguiu acesso remoto ao servidor do SAT, a Receita Federal do México, por meio do scanner vulmap
  • O Claude gerou automaticamente scripts de ataque e, em 7 minutos, testou 8 abordagens até escrever um código funcional
    • Embora o Claude tenha recusado alguns pedidos, o hacker executou a maior parte deles por meio de reformulação de comandos e técnicas de contorno
    • Em apenas 5 dias, já operava várias redes comprometidas ao mesmo tempo
  • O hacker também usou a API do GPT-4.1 para reconhecimento automatizado e análise de dados
    • Uma ferramenta em Python com 17.550 linhas extraía dados dos servidores e os enviava ao GPT-4.1
    • Seis personas virtuais de analista produziram 2.957 relatórios estruturados de informação a partir de 305 servidores
  • As técnicas de ataque em si não eram novas, e os sistemas-alvo estavam sem atualizações de segurança e fora de suporte
    • O ponto central é que a IA acelerou a velocidade e a eficiência de trabalho de um único hacker a um nível de equipe
    • Do ponto de vista defensivo, chegou a era em que atores pequenos podem causar danos em grande escala

Boas notícias de cibersegurança desta semana

  • O Departamento de Justiça dos EUA desmontou, com autorização judicial, uma botnet baseada em roteadores domésticos operada pela GRU da Rússia
    • A GRU infectava roteadores TP-Link para realizar sequestro de DNS e usá-los em ataques man-in-the-middle
  • O FBI e a polícia da Indonésia desmantelaram uma rede global de phishing que usava o kit de phishing W3LL
    • A polícia indonésia prendeu o desenvolvedor, em uma ação considerada a primeira investigação cibernética conjunta entre os dois países
  • O Google introduziu o Device Bound Session Credentials (DBSC) no Chrome 146 para Windows
    • A tecnologia vincula tokens de autenticação a chaves criptográficas específicas do dispositivo para evitar roubo de sessão
    • A versão para MacOS também deve receber suporte em breve

Principais pontos do Risky Bulletin

  • Foi confirmado que roteadores proxy maliciosos para LLM estão de fato sendo comercializados
    • Pesquisadores analisaram 28 roteadores pagos vendidos em Taobao, Xianyu, Shopify e outros, além de 400 roteadores gratuitos disponíveis no GitHub e em outros lugares
    • Alguns executavam ações maliciosas como injeção de comandos, gatilhos por atraso, roubo de credenciais e evasão de análise
  • O governo francês iniciou a primeira etapa para reduzir a dependência do Windows e migrar para Linux
    • A DINUM (Direção Interministerial do Digital) foi designada como órgão líder para conduzir testes de migração em larga escala
    • Em um seminário interministerial de 8 de abril, cada ministério se comprometeu com planos de transição e preparação de tecnologias alternativas
  • Análise da estratégia de cibersegurança da China
    • No mais recente Plano Quinquenal (15º FYP), a construção de uma “ciber-superpotência (网络强国)” foi definida como um dos cinco objetivos de superpotência
    • As outras quatro áreas são manufatura, qualidade, aeroespacial e transporte

Leituras relacionadas

1 comentários

 
GN⁺ 12 일 전
Comentários do Hacker News

  • Muitos dos dados de localização colocados no mercado supostamente são anonimizados, mas na prática muitas vezes é possível reidentificar dispositivos específicos
    Ao ver onde um dispositivo permanece à noite, dá para inferir o endereço residencial e, ao cruzar com informações sobre o morador (trabalho, escola etc.), identificar o proprietário

    • Se alguém souber a localização da casa e do trabalho de uma pessoa, então dados de localização anonimizados são uma ficção que não existe
    • Algo parecido já aconteceu há 20 anos com o dataset do Netflix Prize. Mesmo apenas com dados simples de avaliações de filmes, foi possível identificar pessoas ao cruzar com dados externos
      O artigo relacionado está aqui
    • O termo “anonimização” no fim não passa de teatro de segurança. O setor de adtech sempre encontra brechas na lei ou no EULA, então a solução precisa ser uma abordagem arquitetural
      Por exemplo, se a estrutura mudar para um proxy stateless que remova o identificador do dispositivo antes de enviá-lo ao servidor, não sobra sequer informação para ficar no banco de dados
    • Já vi empresa que fazia a reidentificação de dados de outros data brokers. Assim, os brokers alegavam que tinham anonimizado os dados, mas na prática todas as informações ficavam expostas
    • Com um número de amostras suficientemente grande, até dados simples de contagem de passos podem permitir identificar indivíduos
      Hoje os bancos de dados ainda não são grandes o bastante, mas no futuro isso não me parece impossível

  • Coletar esse tipo de dado sem mandado ou sem contrato explícito deveria ser proibido

    • Mas a maioria das pessoas não lê EULAs nem termos de serviço. É bem provável que essas cláusulas já estejam lá
    • Esse tipo de rastreamento deveria ser desativado por padrão (opt-out), e a venda para terceiros ou o uso fora da finalidade original deveriam ser proibidos
    • Na prática, quase todos os EULAs permitem esse tipo de coleta de dados. O problema é que as pessoas concordam, e o governo contorna a Constituição comprando os dados ou terceirizando isso
    • O GDPR também tentou resolver, mas o setor de adtech distorceu a narrativa e a falta de fiscalização reduziu muito sua efetividade

  • Nos EUA quase não existe o conceito de dados pessoais. Fora partes do HIPAA, falta um sistema de proteção
    Só uma lei como o Data Protection Act 1998 do Reino Unido já seria suficiente para impedir muitas ilegalidades

  • No momento em que ricos e poderosos perceberem que eles próprios podem ser rastreados, a regulamentação vai começar
    Dados de localização também são centrais quando o Exército rastreia e elimina alvos, e esse tipo de dado está sendo negociado com facilidade excessiva por meio de brokers

    • Parece até possível que surja um serviço de rastreamento no estilo ElonJet baseado nesses dados

  • O debate sobre privacidade sempre funciona de forma reativa e tardia
    A tecnologia de vigilância é criada, abusada, exposta, o público toma conhecimento e só então a lei aparece
    Esse ciclo de feedback é lento demais e, no fundo, desgastante. É preciso uma abordagem completamente diferente

    • A própria violação de privacidade deveria ser criminalizada. Como no caso do roubo, o julgamento deveria se basear no resultado, não no método
      Pode até haver razões técnicas para coletar dados, mas não existe justificativa legítima para vendê-los

  • Foi sugerida a ideia de expandir a lei de direitos autorais para proteger o trajeto de deslocamento de uma pessoa como “expressão criativa”

    • Mas, como disse Cory Doctorow, usar direitos autorais como substituto de privacidade é perigoso
      Dados de localização não são obra criativa, e nem sequer está claro quem seria o “autor do registro”
      O texto relacionado pode ser visto aqui
    • No fim, os termos de serviço só passariam a incluir uma cláusula de isenção dizendo que “você concede o direito mundial, não exclusivo e livre de royalties de usar suas informações de localização”

  • A maioria das pessoas subestima os riscos dos dados de localização
    Ao comprar dados de um broker e aplicar geofencing a um endereço específico, é possível rastrear todos os lugares por onde a pessoa passa e com quem ela se encontra
    Isso é o instrumento de controle perfeito com que Palantir ou governos autoritários sonham

  • Já vi um caso estranho ao examinar registros públicos
    Em todos os lugares ao meu redor aparecia uma pessoa com o mesmo nome marcada como “vizinha”. Não dava para saber se era uma pessoa real ou um perfil falso
    Se esse tipo de informação ainda incluísse coordenadas de GPS, a rotina diária de uma pessoa poderia se tornar pública como um histórico de crédito

    • Vale lembrar que, além de GPS, existem vários outros sistemas GNSS para medir latitude e longitude

  • Capturas de tela e análise detalhada da ferramenta relacionada podem ser vistas no relatório do Citizen Lab

    • A thread de discussão no HN sobre isso está aqui

  • Agora acho que até a publicação de vídeos deveria ser ilegal sem o consentimento explícito de todas as pessoas que aparecem
    Compartilhar dentro da família tudo bem, mas a divulgação externa deveria exigir o consentimento de todos
    Numa era em que a cultura de influenciadores transforma invasão de privacidade em dinheiro, a proteção legal deveria ser muito mais forte
    Dados de localização também nunca deveriam ser vendidos nem expostos

    • Mas, se surgirem leis assim, vídeos de festivais, discursos políticos e gravações de denúncias internas também podem acabar proibidos
      Assédio já é crime, então é preciso cuidado para não criar leis desnecessariamente opressivas