Lgpd

Pesquisadores da Q Continuum descobriram que 287 extensões do Google Chrome estão coletando dados de navegação de aproximadamente 37,4 milhões de usuários. Essas extensões, que se apresentam como adblockers ou assistentes de pesquisa, estão envolvidas em uma operação de coleta em massa de dados, vendendo informações pessoais para corporações. A equipe de pesquisa utilizou um proxy man-in-the-middle para monitorar o tráfego de dados e identificou que muitas extensões enviavam informações em texto bruto, utilizando técnicas de ofuscação como a codificação em Base64 e AES-256 para ocultar suas atividades. O grupo SimilarWeb é um dos principais suspeitos, com extensões que afetam até 10,1 milhões de usuários. Embora algumas ferramentas legítimas tenham sido identificadas, a tendência de venda de dados por extensões populares levanta preocupações sobre a privacidade dos usuários. Especialistas alertam que, ao usar produtos gratuitos, os usuários estão, na verdade, pagando com seus dados pessoais, o que pode ter implicações significativas para a conformidade com a LGPD no Brasil.

A Coreia do Sul multou as marcas de moda de luxo Louis Vuitton, Christian Dior Couture e Tiffany em US$ 25 milhões por não implementarem medidas de segurança adequadas, resultando em acesso não autorizado e exposição de dados de mais de 5,5 milhões de clientes. As três marcas, parte do grupo LVMH, sofreram vazamentos de dados após hackers acessarem seu serviço de gerenciamento de clientes baseado em nuvem. O caso da Louis Vuitton envolveu um dispositivo de um funcionário infectado por malware, comprometendo dados de 3,6 milhões de clientes. A Dior foi alvo de um ataque de phishing, onde um funcionário foi enganado a conceder acesso ao sistema, expondo dados de 1,95 milhão de clientes. A Tiffany também enfrentou um ataque semelhante, mas com um impacto menor, afetando 4.600 clientes. A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) destacou que as soluções SaaS não isentam as empresas de sua responsabilidade na gestão segura dos dados dos clientes. As multas foram de US$ 16,4 milhões para a Louis Vuitton, US$ 9,4 milhões para a Dior e US$ 1,85 milhão para a Tiffany.

O artigo aborda o fenômeno dos data brokers, empresas que coletam e vendem informações pessoais de consumidores para fins de marketing e análise. Essas empresas utilizam dados disponíveis na internet, como postagens em redes sociais, cookies de navegação e registros públicos, para criar perfis detalhados dos usuários, que são então vendidos a outras organizações, como bancos e varejistas. O texto destaca a controvérsia em torno da legalidade dessa prática, que, embora não seja ilegal sob a Lei Geral de Proteção de Dados (LGPD), levanta questões sobre consentimento e privacidade. Os data brokers conseguem unir informações online e offline, criando perfis que podem impactar a vida dos consumidores, como influenciar preços de seguros e a concessão de crédito. O artigo também oferece dicas sobre como os usuários podem proteger seus dados, como solicitar a remoção de informações e adotar práticas de higiene digital. A discussão é relevante para o público brasileiro, especialmente em um contexto onde a proteção de dados é uma preocupação crescente.

Um processo judicial em São Francisco, EUA, alega que o WhatsApp, apesar de utilizar criptografia de ponta a ponta, pode acessar as mensagens dos usuários. O caso é movido por um grupo de usuários da Austrália, México e África do Sul, que argumentam que a segurança prometida pela plataforma é uma ‘farsa’. Segundo o processo, funcionários da Meta, empresa controladora do WhatsApp, podem solicitar acesso às mensagens por meio de um sistema interno, permitindo que visualizem conversas, mesmo que os usuários acreditem que suas mensagens estão protegidas. A Meta refutou as alegações, chamando-as de ‘falsas e absurdas’, e afirmou que a criptografia de ponta a ponta tem sido uma característica do WhatsApp por mais de dez anos. O caso levanta preocupações sobre a privacidade e segurança dos dados dos usuários, especialmente em um momento em que a proteção de dados é uma questão crítica em todo o mundo, incluindo o Brasil, onde a LGPD (Lei Geral de Proteção de Dados) impõe rigorosas normas de privacidade. Embora o processo não apresente detalhes técnicos aprofundados, a alegação de que mensagens podem ser acessadas em tempo real e que conteúdos excluídos podem ser recuperados é alarmante para os usuários que confiam na segurança do aplicativo.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

O artigo destaca a crescente vulnerabilidade em sistemas de segurança, evidenciada por falhas em ferramentas amplamente utilizadas. Um exemplo crítico é a exploração de uma vulnerabilidade de autenticação em firewalls da Fortinet, que, mesmo após atualizações, ainda apresenta riscos. A empresa confirmou que a falha, relacionada aos CVEs 2025-59718 e 2025-59719, permite que atacantes contornem a autenticação SSO, mesmo em dispositivos atualizados. Além disso, o surgimento de malware como o VoidLink, gerado quase inteiramente por inteligência artificial, representa uma nova era na criação de software malicioso, complicando a atribuição de ataques. Outro ponto alarmante é a vulnerabilidade crítica no daemon telnetd do GNU InetUtils, que permite acesso não autorizado a sistemas, afetando versões desde 1.9.3 até 2.7. O uso de técnicas de vishing e campanhas de malvertising também são destacados, mostrando que os atacantes estão se adaptando rapidamente. O cenário atual exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

Um alerta da NordVPN destaca que, mesmo quando inativos, os smartphones continuam a compartilhar dados em segundo plano, o que pode representar riscos à privacidade dos usuários. Durante a noite, enquanto os dispositivos parecem estar parados, eles realizam trocas de dados para atualizações de sistema, notificações e sincronização de mensagens. Embora algumas dessas atividades sejam necessárias para o funcionamento adequado do aparelho, outras podem expor informações pessoais sem o consentimento do usuário. Isso inclui a transmissão de identificadores de dispositivos e dados de localização, mesmo com o GPS desativado. Para mitigar esses riscos, a NordVPN recomenda revisar permissões de aplicativos, desativar a atualização em segundo plano e limitar backups automáticos. O uso de uma VPN com proteção contra rastreadores também é sugerido como uma forma eficaz de proteger a privacidade. A conscientização sobre essas práticas é crucial, especialmente em um cenário onde a proteção de dados é cada vez mais relevante, especialmente com a vigência da LGPD no Brasil.

O artigo aborda como cookies e fingerprinting são utilizados por sites para rastrear usuários na internet e direcionar anúncios. Os cookies, arquivos de texto que armazenam informações sobre a navegação, podem ser classificados em primários, que facilitam a experiência do usuário, e de terceiros, que rastreiam a atividade online para fins publicitários. Já o fingerprinting é uma técnica mais avançada que coleta dados do dispositivo do usuário, como resolução de tela e sistema operacional, criando uma ‘impressão digital’ que permite o rastreamento sem a necessidade de cookies. Essa prática levanta preocupações sobre privacidade, especialmente em relação à Lei Geral de Proteção de Dados (LGPD), pois o fingerprinting pode operar sem consentimento explícito. O artigo também menciona o Real-Time Bidding (RTB), um sistema de leilão em tempo real que transforma dados de navegação em receita publicitária. A crescente resistência a cookies em navegadores está impulsionando o uso de técnicas como o fingerprinting, que desafiam a transparência e o controle do usuário sobre seus dados pessoais.

O vazamento de dados pessoais, como CPF, é o início de uma série de problemas que podem se estender por anos. Após a exposição, essas informações se tornam mercadorias em uma economia paralela, sendo negociadas em fóruns da dark web. Especialistas afirmam que, uma vez que um CPF vaza, ele não ‘desvaza’, pois é agregado a outras bases de dados e circula entre grupos criminosos. Os dados são utilizados para fraudes financeiras, como a abertura de contas e a realização de compras em nome da vítima. O processo de monetização envolve etapas como o comprometimento da fonte de dados, extração, enriquecimento e exploração dos dados. O uso de inteligência artificial tem tornado os ataques, como phishing, mais sofisticados e difíceis de detectar. Após um vazamento, é crucial que a vítima atue rapidamente, trocando senhas, ativando autenticação em múltiplos fatores e monitorando suas contas. A responsabilidade pelo vazamento recai sobre a empresa que detinha os dados, que deve demonstrar que adotou medidas de segurança adequadas. A Lei Geral de Proteção de Dados (LGPD) impõe sanções severas para empresas que não cumprirem suas obrigações de proteção de dados.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Nesta Black Friday, cerca de 50% dos consumidores utilizarão smartphones para aproveitar as ofertas, com 27% preferindo aplicativos de varejistas. No entanto, uma análise de 101 aplicativos populares para Android revelou que, em média, cada app solicita quase 29 permissões, sendo 8 delas consideradas ‘perigosas’ pelo Android. Essas permissões incluem acesso à câmera, microfone, localização e armazenamento. Embora algumas permissões sejam necessárias para o funcionamento do aplicativo, muitas delas são solicitadas sem justificativa clara nas políticas de privacidade. Em 27 casos, aplicativos pediram acesso à câmera e/ou arquivos de mídia sem mencionar isso em suas políticas. Além disso, 23% dos aplicativos analisados podem violar os padrões de privacidade do Google. A média de rastreadores por aplicativo é de 7, com um aplicativo apresentando 17 rastreadores. A falta de transparência sobre o uso de dados pessoais levanta preocupações sobre a privacidade dos usuários, especialmente em um contexto onde a proteção de dados é cada vez mais relevante, como na Lei Geral de Proteção de Dados (LGPD) no Brasil.

O uso da nuvem se tornou uma prática comum entre empresas, oferecendo agilidade e eficiência. No entanto, à medida que a infraestrutura em nuvem se expande, a gestão de acesso se torna mais complexa, aumentando o risco de vazamentos de dados e problemas legais. O artigo destaca a importância de estabelecer regras de acesso robustas e de se manter em conformidade com legislações globais, como a LGPD no Brasil. Para ajudar as empresas a enfrentar esses desafios, um webinar gratuito com especialistas da CyberArk será realizado, abordando estratégias práticas para proteger cargas de trabalho em nuvem. Os participantes aprenderão a limitar danos em caso de roubo de credenciais, a definir regras de acesso sem comprometer a agilidade da equipe e a alinhar-se com as normas de segurança internacionais. A crescente sofisticação dos atacantes exige que as empresas adotem um plano de segurança eficaz para proteger suas operações na nuvem, garantindo que a inovação não comprometa a segurança.

A Microsoft anunciou uma nova funcionalidade de segurança no Teams Premium chamada “Prevenir captura de tela”, que visa bloquear capturas de tela e gravações durante reuniões sensíveis. Essa atualização, que será implementada globalmente até o final de novembro de 2025, surge em resposta ao aumento das preocupações sobre vazamentos de dados não autorizados em ambientes de colaboração virtual, especialmente em setores como finanças, saúde e jurídico, onde informações confidenciais são frequentemente compartilhadas.

O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

Um grande vazamento de dados ocorreu na empresa brasileira Maida.health, resultando na suposta perda de 2,3TB de informações sensíveis da polícia militar do Brasil. Os dados expostos incluem registros médicos, cartões de identificação e contratos de saúde, abrangendo serviços de diagnóstico e tratamento em diversas especialidades médicas. Os cibercriminosos estão oferecendo esses dados em fóruns clandestinos, o que levanta preocupações sobre possíveis fraudes médicas e roubo de identidade. Embora a autenticidade das informações ainda não tenha sido confirmada, a situação é alarmante, especialmente considerando que o setor de saúde é um dos mais visados devido à natureza sensível dos dados que manipula. Este incidente não é isolado, já que o Brasil enfrentou outros vazamentos significativos de dados, colocando em risco a privacidade de milhões de cidadãos. A proteção de dados na saúde é crucial, e a conformidade com a Lei Geral de Proteção de Dados (LGPD) deve ser uma prioridade para as organizações do setor.

A criptografia é uma técnica fundamental para garantir a segurança e a privacidade das informações na era digital. Em termos simples, trata-se da ciência de codificar e decodificar dados, assegurando que apenas pessoas autorizadas possam acessá-los. O artigo explora os três componentes básicos da criptografia: texto simples, texto cifrado e chave. Além disso, apresenta a evolução histórica da criptografia, desde métodos simples utilizados na Antiguidade até técnicas complexas como a máquina Enigma da Segunda Guerra Mundial.

No dia 8 de setembro de 2025, o grupo de ransomware KillSec assumiu a responsabilidade por um ataque sofisticado à MedicSolution+, uma plataforma de gestão de práticas médicas baseada em nuvem, amplamente utilizada por clínicas no Brasil. Os atacantes comprometeram buckets do AWS S3 que continham mais de 34 GB de registros de pacientes e ativos médicos, exfiltrando cerca de 95.000 arquivos, incluindo raios-X não editados, resultados de exames e fotos de menores. A análise da Resecurity revelou que a violação foi possível devido a endpoints de armazenamento em nuvem mal configurados, que não possuíam controles de acesso adequados e criptografia. O ataque destaca a vulnerabilidade das organizações de saúde que dependem de fornecedores de TI, pois clínicas que utilizam a MedicSolution+ agora enfrentam riscos de vazamento de dados. Após a violação, o KillSec publicou uma nota de resgate em seu site na rede TOR, ameaçando divulgar os registros médicos do Brasil caso não houvesse negociação. O incidente ressalta a necessidade urgente de auditoria nas configurações de ativos em nuvem e a implementação de políticas rigorosas de privilégio mínimo para proteger dados sensíveis de pacientes.

Um ataque cibernético perpetrado pelo grupo de hackers Killsec resultou no vazamento de dados sensíveis de pacientes de várias clínicas de saúde no Brasil, após a invasão da empresa de software MedicSolution. O ataque, classificado como ransomware, ocorreu na última semana e envolveu a ameaça de divulgação de mais de 34 GB de informações, incluindo avaliações médicas, fotos de pacientes e registros de menores de idade, caso o resgate não fosse pago. A Resecurity, empresa de segurança que analisou o incidente, revelou que a invasão foi facilitada por configurações inadequadas em data centers da AWS, evidenciando falhas de segurança na nuvem. O grupo Killsec já havia atacado outras entidades brasileiras e está vinculado a uma série de ataques na América Latina, levantando preocupações sobre a segurança de dados no setor de saúde. A Lei Geral de Proteção de Dados (LGPD) exige que dados sensíveis, como os de saúde, sejam tratados com rigor, e a Autoridade Nacional de Proteção de Dados (ANPD) já multou empresas por descumprimento. A MedicSolution ainda não se manifestou sobre o ataque, que destaca a vulnerabilidade das instituições de saúde frente a ciberataques.

O teste de penetração interna é uma parte essencial da estratégia de cibersegurança, simulando uma violação a partir de dentro da rede. Em 2025, com o aumento do trabalho híbrido e ambientes complexos, a importância desse tipo de teste se intensifica. O objetivo principal é entender o que um atacante pode fazer uma vez que já está dentro da rede, uma vez que as defesas tradicionais, como firewalls, podem ser contornadas por ataques sofisticados. As dez melhores empresas de testes de penetração interna foram selecionadas com base em critérios como experiência, confiabilidade e riqueza de recursos. Entre elas, destacam-se a Rapid7, que combina inteligência de ameaças com testes manuais, e a Coalfire, que foca em conformidade com normas de segurança. Outras empresas, como Synack e CrowdStrike, oferecem abordagens inovadoras, como o modelo de Teste de Penetração como Serviço (PTaaS) e emulação de adversários, respectivamente. A escolha do serviço adequado pode ajudar as organizações a identificar e corrigir vulnerabilidades críticas, garantindo a proteção de dados sensíveis e a conformidade com regulamentações como a LGPD.

Em 2020, mais de 75% da população mundial se identificou com alguma religião, totalizando cerca de 6 bilhões de pessoas. Com o aumento do uso de aplicativos para acessar conteúdos religiosos, surge a preocupação sobre a segurança desses aplicativos. Uma análise de 158 apps populares da Google Play Store revelou que, em média, cada um solicita 21 permissões, sendo 3,7 classificadas como ‘perigosas’. Essas permissões incluem acesso a dados sensíveis como localização, câmera e armazenamento. A pesquisa destacou que 46% dos aplicativos podem violar as normas de privacidade do Google, com 20 deles não mencionando o acesso à câmera em suas políticas de privacidade. Além disso, 56 apps não informaram o período de retenção de dados, e 48 não explicaram como os usuários podem deletar suas informações. A falta de transparência pode colocar em risco a privacidade dos usuários, especialmente considerando que alguns aplicativos são voltados para crianças. A segurança dos dados pessoais deve ser uma prioridade, e os usuários precisam estar cientes das permissões que estão concedendo ao utilizar esses aplicativos.