Payments 4.0

Leia a entrevista sobre o livro “Payments 4.0 – As forças que estão transformando o mercado brasileiro” em: “O livro sobre o futuro da Cielo, Stone, PagSeguro e Rede“, matéria de Pedro Arbex e Geraldo Samos 

O Luis Filipe Cavalcanti e eu, Edson Santos, trabalhamos nesse livro com muita dedicação e amor. Foram horas de pesquisa, entrevistas, estudos e discussões. Nossa meta sempre foi dividir conhecimento e experiência que tentamos repassar nessa livro. Espero que vocês possam tirar proveito, com insights e ideias que venham a auxiliar na sua jornada, mas também contribuir com seus comentários e críticas. Por favor, fiquem a vontade!

LGPD: Autoridade Nacional de Proteção de Dados e seus impactos para startups

Matéria de Felipe Matos, publicada no Estadão de 15/07/19.

Na última terça-feira (10), o presidente da república sancionou a lei que cria a Autoridade Nacional de Proteção de Dados (ANPD), um órgão voltado para proteger as informações pessoais tratadas em território brasileiro, que vinha sendo bastante aguardado por startups e empresas do setor de tecnologia – em continuidade à implementação da Lei Geral de Proteção de Dados (LGPD). Nesse artigo, que contou com a contribuição da advogada especializada no tema Raíssa Moura, trazemos uma análise dos principais pontos que afetam startups.

A criação do órgão havia sido prevista inicialmente LGPD, mas foi vetada pelo presidente, que sinalizou que o criaria futuramente através de um decreto. Posteriormente, a presidência propôs uma Medida Provisória (869/2018) com alguns pontos de regulamentação da lei, mas que, por sua natureza provisória, trazia inseguranças sobre a sua efetiva validade. Finalmente, desde semana passada, foi publicado um decreto no Diário Oficial da União, dando uma versão definitiva à regulamentação, com 14 vetos ao texto original, e determinação da criação da autoridade reguladora, além de mais algumas mudanças, com impacto significativo para as empresas.

O que muda para as startups?

O ambiente das startups de tecnologia e inovação é movido por enxergar oportunidades e criar soluções para problemas conhecidos e mesmo alguns que sequer haviam sido imaginado. Cada vez mais, essas empresas utilizam a ciência de dados em seus produtos e serviços como parte de suas soluções. A aprovação da LGPD, de fato, mudará bastante o modelo de operação dessas startups ao implicar umas série de processos de proteção dos dados, inclusive regulando quando será necessário o pedido de consentimento dos consumidores para coleta e tratamento desses dados. 

Por isso mesmo, a complexidade da tarefa também é uma oportunidade valiosa para quem quer inovar na área. Agora, existe espaço para que novas soluções surjam implementando políticas de gestão e segurança de dados e consentimentos, colocando a questão da privacidade presente desde a concepção das soluções, o chamado privacy by design

Ainda assim, muitos empreendedores estão com o medo do custo da implementação da LGPD, afinal, startups possuem poucos recursos no início e desenvolvem seus negócios. O desafio aqui será equilibrar a proteção dos dados pessoais e o direito fundamental à privacidade com o desenvolvimento econômico e a inovação, permitindo que as startups brasileiras mantenham seu crescimento exponencial em condições de competir com as gigantes da tecnologia do mercado digital internacional.

         Neste sentido, é importante analisarmos as mudanças estabelecidas pela Lei 13.853, sancionada esta semana, e identificar quais os principais impactos para as startups, conforme veremos a seguir.

Principais benefícios da ANPD:

1. A instituição reguladora:

O Brasil contará com uma Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Este é o passo fundamental para que o país finalmente tenha o mesmo nível de  proteção de dados de países que saíram na frente e já implementaram suas leis. Esse ponto é importante, pois numa nua economia digital sem fronteiras, ocorre um grande fluxo internacional de dados. Por isso é preciso harmonizar regras sobre a gestão desses dados entre países – em especial com a GDPR (General Data Protection Regulation), que é a legislação européia que trata o tema. 

Além do mais, a ANPD será responsável por auxiliar as empresas em seus processos de adequação ao instituir diretrizes claras sobre o tratamento de dados pessoais, promover o conhecimento das normas e políticas públicas sobre proteção de dados, elaborar estudos sobre práticas nacionais e internacionais de proteção de dados e auxiliar o entendimento sobre os procedimentos adequados para a elaboração dos relatórios de impacto à proteção de dados, dentre outras atividades que facilitarão a interpretação da lei.

2. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:

A Autoridade Nacional de Proteção de Dados terá um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade formado por 23 membros, dentre eles representantes de instituições científicas, tecnológicas, de inovação e entidades empresariais relacionadas à área de tratamento de dados pessoais, que não terão poder decisório, mas poderão, entre outras atribuições, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como recomendar ações para a ANPD, além de elaborar estudos e realizar debates públicos sobre o tema.

Portanto, as startups poderão ter representação no Conselho Nacional de Proteção de Dados Pessoais e Privacidade, garantindo que a ANPD cumpra com o disposto no art. 2º da LGPD, que institui como um dos fundamentos da lei o desenvolvimento econômico, tecnológico e a inovação.

3. Os termos de compromisso:   

A ANDP poderá celebrar termos de compromisso com as empresas. Isto significa que há a possibilidade da ANPD fazer recomendações para que as startups se adequem à lei, firmando um termo de compromisso, que deverá ter seu cumprimento fiscalizado pela própria autoridade, sem que as punições previstas na LGPD inviabilizem negócios que estão em estágio inicial de desenvolvimento. Esta é a melhor forma da ANPD educar o mercado e alcançar o fim máximo da lei que é garantir a proteção dos indivíduos diante do tratamento dos seus dados pessoais identificados ou identificáveis.

4. Normas específicas e procedimentos simplificados para startups

Essa é uma das principais novidades do decreto para startups. O decreto prevê que ANPD poderá editar normas, orientações e procedimentos simplificados e diferenciados – inclusive quanto aos prazos – para que microempresas e empresas de pequeno porte, bem como “iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação”, possam adequar-se a Lei.

Como a maioria dos modelos de negócio disruptivos utilizam dados pessoais em seus produtos e serviços, a sobrevivência das startups de tecnologia estava ameaçada pelo curto tempo de adequação e pelo alto custo de implementação das obrigações instituídas pela LGPD. Obrigações tais como contratar de um(a) profissional encarregado de dados (denominado DPO – Data Protection Officer pela GDPR) para comunicação entre o titular dos dados e a ANPD; assegurar o exercício dos direitos dos usuários, ou seja, das pessoas que são titulares dos dados pessoais; utilizar de tecnologia de ponta em segurança da informação; além de implementar um programa de processos de governança que permita comprovar que todas as medidas foram tomadas para proteger os dados pessoais coletados. Tudo isso implica em custos, muitas vezes demandando até mesmo consultorias especializadas, nem sempre acessíveis por empresas menores. 

O mercado deve ficar atento aos próximos passos da ANPD e como serão implementados os procedimentos simplificados para startups.    

5. Decisões Automatizadas

No texto original da LGPD os titulares dos dados teriam o direito de solicitar a revisão, por uma pessoa natural, de decisões tomadas unicamente com base no tratamento automatizado de dados pessoais que afetassem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, ou aspectos de sua personalidade. Isso significa o direito de pedir que um ser humano revise uma decisão tomada por um algoritmo para decidir questões como o limite do cartão de crédito ou sobre a exclusão de um perfil por ter ferido a política de uma rede social.

A necessidade dessa revisão ser realizada por agente humano foi retirada pela Medida Provisória 869/2018, mas reintroduzida no texto final da lei 13.853/19 que seguiu para a sanção presidencial. No entanto, o Presidente vetou o referido texto sob o argumento de que a proposta contraria o interesse público, pois inviabilizaria modelos de negócio atuais de muitas empresas, inclusive startups. Alegou ainda que haveria impacto na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, com efeito negativo na oferta de crédito aos consumidores, com reflexos nos índices de inflação e na política monetária.

Este tem sido um dos pontos mais criticados pelos especialistas, que acreditam que a utilização de algoritmos nesses processos decisórios são pouco transparentes e podem ocasionar prejuízos discriminatórios aos titulares dos dados, que não terão mais o direito de solicitar a revisão da decisão por uma pessoa humana.

Embora os titulares dos dados continuem com o direito de solicitar a revisão das decisões automatizadas, estas revisões não precisarão necessariamente ser realizadas por agentes humanos, até porque no cenário de big data muitas vezes torna-se impossível reconstituir todos os passos das decisões algorítmicas.

Como os princípios que norteiam a LGPD são o espírito da lei, cabe às empresas, atendendo ao princípio da transparência, garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais, observados os segredos comercial e industrial.

Ou seja, ao se deparar com uma solicitação de revisão, além de atendê-la, a empresa deverá também esclarecer as informações que lastrearam a decisão, quais as categorias dos dados utilizadas, como a informação foi utilizada para a tomada de decisão que afetou o titular e tudo o mais que for possível esclarecer, respeitando o segredo comercial e industrial. 

Principais desafios:

1. O grau de autonomia e independência da ANPD

A ANPD foi instituída como parte da administração pública federal, integrante da Presidência da República. Isto quer dizer que o órgão não será independente e estará subordinado aos interesses do governo federal. A lei afirma que esta natureza da ANPD é transitória, pois em 2 anos o Poder Executivo poderá transformá-la em uma Autarquia da administração pública indireta, mas não há garantias uma vez que esta decisão será tomada a critério do Poder Executivo.

O grau de autonomia da ANPD é um ponto crucial na aceitação do Brasil como país adequado para o recebimento de dados oriundos do território europeu. Caso o Brasil não seja considerado um país com o mesmo nível de proteção de dados da UE, por conta da falta de independência de nossa autoridade de proteção de dados, as startups brasileiras que atuarem em território europeu terão que enfrentar todos os requisitos burocráticos previstos na GDPR para transferência internacional de dados, dificultando a inserção de soluções de startups brasileiras em mercados externos.

2. A obrigação de nomear um encarregado

A nova redação do art. 5º, VIII, da LGPD diz que tanto o controlador (responsável por determinar o tratamento dos dados) como o operador (responsável por tratar o dado em nome do controlador) deverão indicar um encarregado para atuar como canal de comunicação entre estes, os titulares dos dados e a ANPD.

Ter um profissional encarregado – o(a) DPO – seria, inicialmente, obrigação apenas da empresa controladora dos dados. No entanto, a redação atual ficou confusa ao incluir o operador como responsável por tal indicação, recaindo assim mais uma custosa obrigação sobre as startups que atuam tratando dados em nome de outras empresas, ainda que seja difícil determinar quando uma empresa atua exclusivamente como operadora de um dado pessoal.

Conclusão

Proteção de dados não é diferencial. Proteção de dados é um direito e é lei. Nunca se falou tanto sobre esse tema. Não por menos, após diversos escândalos de vazamento de dados por grandes empresas como Google, Facebook, e até mesmo seu uso com a finalidade de influenciar importantes processos democráticos, o mundo passou a estabelecer normas para proteção dos dados pessoais. A privacidade deixou de ser um tema de nicho e está nas discussões nas mais diversas áreas.

Entendemos que a LGPD não vai matar a inovação e nem é inimiga das startups. Pelo contrário, traz vantagens, como dar clareza sobre as regras do jogo, ao criar uma regulamentação comum que deve ser seguida por todas as empresas durante a coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Ela torna o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados mais elevado e institui novas autorizações para o tratamento de dados pessoais, além do consentimento já previsto no Marco Civil da Internet.

O texto final da LGPD contemplou muitos dos pleitos levantados pelas entidades representativas de startups durante o processo legislativo, tornando sua aplicação mais flexível para estas empresas que fomentam boa parte do desenvolvimento econômico atual do país e permitem que o Brasil seja um celeiro de inovação para o mundo.

Além disso, obriga que todos criem soluções inovadoras para sobreviver. O novo panorama é promissor para aqueles que saírem na frente e investirem em segurança de dados e privacidade. Quem insistir em se manter agarrado a paradigmas ultrapassados, ficará para trás. No fim, é para toda a sociedade que a lei será aplicada, seja você pessoa física ou jurídica, a segurança dos seus dados e dos dados pessoais que você utiliza para fins econômicos são também sua responsabilidade.

*Com colaboração de Raíssa Moura, advogada corporativa, head of legal & privacy counsel da In Loco, membro da IAPP – International Association of Privacy Professionals, co-fundadora do Recife Legal Hackers. Formada em Legal Law Master em Direito Corporativo pelo IBMEC e especialização em Gestão de Departamentos Jurídicos pelo Insper. Certificada pela EXIN através do exame PDPE – Privacy and Data Protection Essentials.

Cibercrime brasileiro está mesmo clonando cartões com chip?

cartão clonado 3

Por Daniel Oliveira, CEO da paySmart.

Um artigo intitulado “Cibercrime brasileiro cria método para clonar cartões com chip”, recentemente publicado pela fabricante de antivírus Kaspersky, tem chamado a atenção da mídia. O artigo contém alegações alarmantes como:

“podemos assumir que todos os usuários foram comprometidos”,
“se você tem um cartão, os dados dele provavelmente já foram roubados” e
“agora que os criminosos desenvolveram maneiras de efetivamente clonar os cartões, isso se tornou um sério risco”.

Esse post é uma tentativa de explicar um pouco melhor a abrangência desse ataque e refutar essas alegações extraordinárias que, parafraseando Carl Sagan, deveriam ser acompanhadas de evidências extraordinárias.

Comprometimento total de terminais é coisa séria e pode permitir ataques mais elaborados no futuro, mas tudo indica que o ataque se trata de uma interceptação de dados, uma variação do “clássico” ataque de homem do meio, com proteções conhecidas.

Infelizmente, alguns emissores de cartão ainda não implementam essas proteções e estão sujeitos a fraudes. Mas afirmar que cartões com chip não são mais seguros já que alguns terminais foram comprometidos e alguns emissores não implementam medidas de segurança é quase o mesmo que dizer que carros não são seguros porque há lugares onde pessoas dirigem sem cinto de segurança.

Problema antigo, solução antiga

Como quase todos os protocolos e especificações de segurança, EMV, a tecnologia por trás dos cartões de pagamento com chip, tem problemas. Um deles, uma falha de design originalmente descoberta por pesquisadores da Universidade de Cambridge em 2010 e batizada de “PIN wedge”, é uma variação do clássico ataque de “homem do meio”, onde um oponente fica entre dois ambientes (no caso, entre o cartão e a maquininha) e engana, simultaneamente, os dois. Até aí, absolutamente nada de novo. O ataque de “PIN wedge” é conhecido há anos e tem uma série de contramedidas, também conhecidas.

O ataque em 2018

Parece ser, literalmente, mais do mesmo, com um toque de automatização para “facilitar a vida dos fraudadores”: um pacote de “fraude como serviço” para permitir que mais fraudadores menos experientes tenham acesso à essa tecnologia. Mas é importante frisar que o cartão é um cartão parecido com original — com alguns dados do cartão original — e não um clone perfeito, como o artigo induz o leitor desavisado a acreditar.

Um terminal comprometido é um problema porque ele pode ser utilizado para manipular dados da transação, capturar dados do cartão e coordenar outros ataques. Dados públicos, por exemplo, combinados com o código de segurança (impresso no verso) e dados pessoais que o fraudador pode obter por outros meios (como engenharia social), podem ser utilizados em outros ataques, como compras pela Internet. Mas dizer que “cartões estão sendo clonados” é um salto lógico, para dizer o mínimo.

Em determinado momento o artigo faz alusão à utilização do cartão para saque em caixas eletrônicos (“jackpotting ATMs and beyond”), o que é estranho pelo fato de que em transações de saque, a senha é sempre validada on-line — e um “yescard”, que aceite qualquer senha off-line, não poderia ser utilizado com tanta facilidade.

O artigo não deixa claro se os criminosos estão armazenando transações nos cartões e depois enviando essas transações duplicadas (“replay”). Mas se estão fazendo “replay”, a afirmação de que “utilizar Android Pay e Apple Pay” resolveria é estranha.

O artigo tem um tom panfletário, mas a boa notícia é que existem proteções razoavelmente simples contra esses ataques e a maioria dos emissores de cartões no Brasil, já as utilizam.

Para mais informações, veja a publicação original no site da paySmart

 

A vulnerabilidade das CPU’s

Meltdow

por Pedro Milanez:

Recentemente, foi divulgado uma nova falha de segurança presente em processadores Intel, AMD e ARM.

A vulnerabilidade, permite que um software tenha acesso a áreas protegidas da memória do kernel – núcleo do sistema operacional – e do usuário expondo informações sensíveis.

Na quarta-feira, dia 3, os pesquisadores de segurança do Google divulgaram um estudo detalhado sobre essas falhas, descrevendo como Meltdown e Spectre. Elas estão vindo a público somente agora, mas foram descobertas e reportadas para a Intel, a AMD e a ARM em junho de 2017.

O Meltdown, a princípio só atinge processadores Intel e consiste em quebrar um mecanismo de segurança que previne aplicativos de acessarem a memória reservada ao kernel do sistema operacional.

Com áreas da memória do kernel – a ponte entre os software e o hardware da máquina – exposta, a falha é considerada grave. Em teoria, ela permite que um aplicativo comum (inclusive um malware ou até mesmo um código em JavaScript rodando no navegador) tenha acesso a senhas e outras informações restritas.

Meltdown in Action: Dumping memory https://www.youtube.com/watch?v=bReA1dvGJ6Y

A proporção piora uma vez que todos os processadores Intel desde 1995 (com exceção dos Intel Itanium e Intel Atom produzidos antes de 2013) são vulneráveis ao ataque, ou seja, desktops, laptops e servidores do dia a dia.

A correção para a falha já está sendo implementada por software em todos os sistemas operacionais do mercado. No entanto, como o patch consiste em isolar completamente os processos de usuários e a memória do kernel, é possível que haja redução no desempenho entre 5 e 30%. Em um contexto onde servidores trabalham constante com carga elevadas, qualquer perda de desempenho afetará em grande escala todas as indústrias.

Cloud providers como AWS, Azure e Google Cloud já estão aplicando os patches em seus sistemas e máquinas virtuais e impactos já podem ser sentidos. Um estudo feito com o banco de dados PostgreSQL demonstrou uma perda de performance significativa em processos de indexação de tabelas.

O Spectre é uma falha mais difícil de corrigir, porque, para ser totalmente resolvida, exigiria que os chips fossem reprojetados. No entanto, as empresas já trabalham para mitigar o problema por software.

O nome do Spectre está relacionado à causa do problema, que é a execução especulativa (speculative execution, em inglês). Para acelerar o desempenho dos softwares, os processadores modernos tentam adivinhar qual código será executado em seguida. Caso a previsão esteja errada, o resultado é simplesmente descartado; caso esteja certa, há uma economia de tempo.

No entanto, a tecnologia também pode induzir um processador a executar uma operação “adivinhada” que não seria executada em condições normais. Isso permite que um aplicativo vaze uma informação confidencial para outro aplicativo, quebrando vários mecanismos de segurança de softwares, como o sandbox do Chrome, que separa as abas de sites e o resto do sistema operacional, por exemplo.

Com informações: The New York Times, The Verge, ZDNet, Axios e Tecnoblog

Pedro Milanez é ex-CTO da Beblue (www.beblue.com.br), responsável por tecnologia e produto. Foi o primeiro funcionário do Nubank onde foi responsável pelo produto de mobile e pela operação do cartão de crédito. Formado em Sistemas de Informação pela PUC-Rio, abriu a primeira empresa do Rio de Janeiro de desenvolvimento para iOS e Android.

Microchip Party

AA

Ainda me lembro que em 2014 um reporter me pediu para reportar algo inovador que havia revelado no meu livro, para que ele pudesse fazer uma matéria. Quando lhe falei sobre a implantação de microchips debaixo da pele, para auxiliar nas tarefas do dia a dia, ele acho muito bizarro e não quis publicar :).

No próximo dia 1/08/2017, uma empresa de Wisconsin – USA, realizará a “Microchip Party”, onde 50 funcionários voluntários irão implantar um microchip RFID, debaixo da pela das mãos. A Three Square Market produz e comercializa micro mercados, self-service, para salas de escritórios.

Todd Westby, CEO da Three Square Market, diz: “Prevemos o uso da tecnologia RFID para ser utilizado em quase tudo, desde fazer compras em nossa cantina, abertura de portas, uso de copiadoras, acesso aos nossos computadores e sistemas, desbloqueio de telefones, compartilhamento Cartões de visita, armazenamento de informações médicas / de saúde e usado como pagamento em outros terminais RFID.”

“Eventualmente, esta tecnologia se tornará padronizada, permitindo que você a use como seu passaporte, transporte público, todas as oportunidades de compra, etc.”, o diretor executivo Todd Westby escreveu em um blog, anunciando o programa.

O programa também é uma oportunidade real para a empresa de Westby testar e expandir a tecnologia para seus próprios produtos. “Nós vemos isso como outra opção de pagamento e identificação que não só pode ser usada em nossos mercados, mas também em nossas outras aplicações de auto-atendimento que estamos implantando, que incluem lojas de conveniência e centros de fitness”, disse outro executivo da empresa.

O Three Square Market afirma que será a primeira empresa nos Estados Unidos a implantar chips em seus funcionários. assista a entrevista do Todd Westby na CNBC.

Em Janeiro de 2017, publicamos neste blog uma matéria mostrando como a tecnologia funciona, veja em  “I’ve got you under my skin”

 

Sua voz pode ser clonada

Voice

Matéria de James Vincent, publicada no site THE VERGE.

Na semana passada, uma startup canadense chamada Lyrebird revelou seu primeiro produto: um conjunto de algoritmos que a empresa alega poder clonar a voz de qualquer pessoa ouvindo apenas um minuto de áudio de amostra.

Alguns anos atrás isso seria impossível, mas a proeza analítica da aprendizagem mecânica provou ser um ajuste perfeito para as idiossincrasias da fala humana. Usando inteligência artificial, empresas como a Google foram capazes de criar vozes sintetizadas incrivelmente “life-like”, enquanto a Adobe revelou seu próprio protótipo de software chamado Project VoCo que pode editar o discurso humano como Photoshop ajusta imagens digitais.

Mas enquanto o Project VoCo requer pelo menos 20 minutos de áudio de amostra antes que ele possa imitar uma voz, o Lyrebird reduz esses requisitos para apenas 60 segundos. Os resultados certamente não são indistinguíveis da fala humana, mas eles são impressionantes mesmo assim, e sem dúvida melhorarão com o tempo. Ouça aqui as vozes sintetizadas de Donald Trump, Barack Obama e Hillary Clinton discutindo a startup.

Lyrebird diz que seus algoritmos também podem alterar a emoção do discurso que ele cria, deixando os clientes fazerem as vozes parecerem zangadas, simpáticas ou estressadas. A fala resultante pode ser colocada em uma ampla gama de usos, diz Lyrebird, incluindo leitura de livros com vozes famosas, para dispositivos conectados de qualquer tipo, para síntese de voz para pessoas com deficiência, para filmes de animação ou para estúdios de videogame. “É preciso um pouco de poder de computação para gerar uma voz de impressão, mas uma vez feito, o discurso é fácil de fazer – Lyrebird pode criar mil frases em menos de meio segundo.

Há usos mais preocupantes também. Já sabemos que os geradores sintéticos de voz podem enganar o software biométrico usado para verificar a identidade. Programas de AI podem gerar fotos e videos falsos muito convincentes de qualquer pessoa. Por exemplo, esta pesquisa de 2016 usa mapeamento 3D para transformar vídeos de políticos famosos, incluindo George W. Bush e Vladimir Putin, em “fantoches” em tempo real. Combine isso com um sintetizador de voz realista e você poderia ter um vídeo no Facebook de Donald Trump anunciando que os EUA estão bombardeando a Coréia do Norte viralizado antes que você saiba.

Em uma seção de “Ética” no site da empresa, os fundadores da Lyrebird (três estudantes universitários da Universidade de Montréal) reconhecem que sua tecnologia “levanta importantes questões sociais”, inclusive questionando a veracidade das gravações de áudio usadas no tribunal. “Isto poderia potencialmente ter conseqüências perigosas tais como fraude e problemas causado pelo roubo de identidade de alguma outra pessoa,” escrevem.

Sua solução é liberar a tecnologia publicamente e torná-la “disponível para qualquer pessoa”. Dessa forma, dizem eles, o dano será diminuído porque “todos logo estarão cientes de que tal tecnologia existe”. Falando a The Verge, Alexandre de Brébisson, da Lyrebird, acrescenta: “A situação é comparável ao Photoshop. As pessoas estão agora cientes de que as fotos podem ser falsificadas. Acho que no futuro, as gravações de áudio vão se tornar cada vez menos confiáveis ​​[como evidência].”

Por enquanto, a tecnologia Lyrebird ainda está em desenvolvimento, e a empresa não quer discutir preços. Mas de Brébisson diz que mais de 6.000 pessoas já se inscreveram para acesso antecipado às suas APIs, e o Lyrebird está trabalhando para melhorar seus algoritmos, incluindo adicionar suporte para diferentes idiomas como o francês. “Esta tecnologia vai acontecer”, diz de Brébisson. “Se não somos nós, será outra pessoa.”

 

BankBot trojan no Google Play

pirata3

O InterContinental Hotel Group afirmou ter encontrado malwares projetados para roubar detalhes do cartão de pagamento em cerca de 1200 de seus hotéis de franquias nos EUA. Essa é uma péssima notícias, mas a novidade que me deixou assustado hoje foi outra: Cyber criminosos encontraram uma maneira de burlar a segurança do Google e instalaram APP no Google Play infectados com o trojan BankBot.

Como o trojan funciona?

BankBot funciona mostrando uma janela de login falsa em cima do aplicativo bancário legítimo, instalado no dispositivo de um usuário. Em suma, BankBot pode ser usado para roubar credenciais de login para aplicativos bancários. Também pode ser usado para roubar detalhes de login para outros aplicativos, incluindo Facebook, YouTube, WhatsApp, Snapchat, Instagram, Twitter e até mesmo a Google Play Store.

A empresa de segurança holandesa Securify postou uma lista de 424 aplicativos bancários legítimos para os quais as versões do BankBot detectadas recentemente foram codificadas para segmentar. A lista inclui aplicações para bancos como Santander, ING, Erste, Volksbank, ING, Eurobank, ABN AMRO, Garanti, HSBC, BNP Paribas e assim por diante. A lista completa pode ser verificada em  Pastebin.

BankBot Android Trojan foi descoberto pela primeira vez em janeiro de 2017 (veja relato de Doug Olenick em BankBot created with leaked banking trojan source code), logo após um exemplo de código-fonte do Android Trojan bancário foi publicado em fóruns na “dark web”. Esses códigos-fonte captam rapidamente a atenção dos criminosos, pois  podem ser rapidamente editadas e transformadas em um vírus personalizado. Pouco depois da publicação do código fonte, criminosos criaram o BankBot Trojan, que conseguiu enganar o scanner de segurança do Google e entrar no Google Play Store. Em abril, os pesquisadores já sabiam sobre três campanhas associadas a este vírus e, consequentemente, as aplicações mal-intencionadas foram retiradas da loja

No entanto, cyber criminosos não pararam neste momento e substituíram essas aplicações por novas. A Securify detectou duas novas campanhas BankBot que conseguiram escapar das verificações de segurança da Google Play Store. Um dos aplicativos mal-intencionados que continham o Trojan bancário era chamado de HappyTime Videos 2017, e já foi retirado. Como explica Niels Croese da Securify: “Aparentemente, o aplicativo foi atualizado recentemente (8 de abril de 2017) e provavelmente foi quando o malware foi adicionado. Comuniquei o aplicativo por meio de seu sistema de relatórios, mas no momento em que escrevo ele ainda está disponível no Google Play. Como você pode ver, parece ter instalações de 1k a 5k, o que não é muito para um aplicativo normal, mas muito para malware (pelo menos em comparação com as contagens de instalação que vimos até agora em outros malwares de banca móvel).”  Veja o post em: Banking malware in Google Play targeting many new apps.

A nova versão do Trojan também é capaz de bloquear o dispositivo da mesma forma que o ransomware faz, ou controlar e escanear as mensagens de entrada para ler com êxito os códigos de verificação enviados pelo banco (para ignorar a verificação em duas etapas procedimento). Ele pode basicamente roubar login e senhas usadas para qualquer aplicativo no telefone, incluindo Facebook, Instagram, Twitter, Snapchat e outros.

Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.

Claramente os criadores de malware encontraram uma maneira de enganar o serviço de segurança do Google e agora os engenheiros da empresa estão tentando encontrar uma maneira de resolver este programa e detectar aplicações que contêm este cavalo de Tróia de forma mais eficiente.

Até agora, parece que os usuários do Android não tem muita sorte quando se trata de segurança – há muitos casos a mencionar a respeito de malware na Play Store oficial. A loja já estava comprometida por adware, trojans, como HummingWhaleSvpeng ou mesmo ransomware. Veja o post do Oren Koriat sob o título A Whale of a Tale: HummingBad Returns, no blog Check Point.

Se quiser evitar a instalação de malware é necessário aprender a identificar aplicativos críticos e não deixar falsos comentários e classificações nos enganar em instalá-los!

Mas bah, tchê! Que barbaridade

Cybercrime

Quase todos os dias recebemos informações de um novo “data breach” (violação de dados). Hoje foi o dia de saber que Wonga, uma FinTech Inglesa de empréstimos contra folha de pagamento (Payday Loan), teve seus sistemas invadidos na semana passada, expondo os dados de 270 mil clientes.

De acordo com a Finextra, o porta-voz da empresa disse ao site de notícias TechCrunch que “a Wonga está investigando urgentemente o acesso ilegal e não autorizado aos dados pessoais de alguns de seus clientes no Reino Unido e na Polônia. Estamos trabalhando em estreita colaboração com as autoridades e estamos no processo de informar os clientes afetados. Pedimos sinceras desculpas pelo inconveniente causado”.

São tantos os casos que, para muitos de nós, se trata de rotina. Entretanto, o que ocorreu com um banco brasileiro no dia 22 de outubro de 2016 é assustador. Embora não confirmado oficialmente, tudo indica de que se trata do banco Banrisul.

No dia 4 de abril, o site Wired publicou matéria de Andy Greenberg, sob o título: How Hackers Hijacked a Bank’s Entire Online Operation, descrevendo o ataque detectado pela empresa de segurança digital Kaspersky, cujo caso foi apresentado em seu congresso anual na semana passada.

A matéria de Natalia Viri, no site Brazil Journal, sob o título: “Hackers montam ataque ‘sem precedentes’ a banco brasileiro”, revela os detalhes de como a fraude ocorreu.

O assunto é assustador! Bestuzhev, da Kaspersky, disse à WIRED que “absolutamente todas as operações online do banco ficaram sob o controle dos hackers por cinco a seis horas.” Num ataque assim, do ponto de vista do hacker, “você se torna o banco. Tudo pertence a você.”

Em outra matéria publicada pela Wired em 04/04/2017, Alex Bennett estima que o custo global do crime cibernético (Cybercrime)  chegue a 4,9 trilhões de Libras por ano em 2021(cerca de US$ 6 trilhões) e, informa também que dois terços das grandes empresas do Reino Unido foram alvos de cibercriminosos em 2016.

Sua empresa investe em CyberSecurity? Que competências devemos adquirir para combater fraudes? As do passado não serve mais, concorda? Imagine o que as novas tecnologias podem gerar de oportunidades para os cibercriminosos, como por exemplo, Internet das Coisas (IoT) e carros autônomos (self-drive cars).

Tecnologias com Inteligência Artificial (IA), já estão sendo utilizadas para descobrir  brechas e falhas sistêmicas, numa tentativa de prevenis antes de sofrer um ataque. Entretanto, os criminosos também tem acesso às mesmas tecnologias e as utilizam, as vezes com mais eficiência.