Privacidade De Dados

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas no assistente de inteligência artificial Gemini do Google, que, se exploradas, poderiam comprometer a privacidade dos usuários e permitir o roubo de dados. As falhas, coletivamente chamadas de ‘Gemini Trifecta’, incluem: uma injeção de prompt no Gemini Cloud Assist, que poderia permitir que atacantes manipulassem serviços em nuvem; uma injeção de busca no modelo de Personalização de Busca do Gemini, que poderia vazar informações salvas e dados de localização ao manipular o histórico de busca do Chrome; e uma falha de injeção indireta no Gemini Browsing Tool, que poderia exfiltrar dados do usuário para servidores externos. Após a divulgação responsável, o Google implementou medidas de segurança, como a interrupção da renderização de hyperlinks nas respostas de resumo de logs. A Tenable, empresa de segurança, destacou que a situação evidencia que a IA pode ser utilizada como veículo de ataque, não apenas como alvo, enfatizando a necessidade de visibilidade e controle rigoroso sobre ferramentas de IA em ambientes corporativos.

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs multas significativas a Google e Shein por violarem as regras de consentimento de cookies. Google foi multada em €325 milhões (cerca de R$ 379 milhões) e Shein em €150 milhões (aproximadamente R$ 175 milhões) por instalar cookies de publicidade nos navegadores dos usuários sem obter consentimento adequado. A CNIL destacou que, ao criar uma conta no Google, os usuários eram incentivados a aceitar cookies para anúncios personalizados, sem serem devidamente informados de que essa aceitação era uma condição para acessar os serviços da empresa. Embora Google tenha introduzido uma opção de recusa de cookies em outubro de 2023, a falta de consentimento informado ainda persistiu. Além disso, a CNIL criticou a prática do Google de exibir anúncios em e-mails do Gmail sem o consentimento explícito dos usuários, o que também contraria o Código Postal e de Comunicações Eletrônicas da França. A CNIL deu um prazo de seis meses para que o Google se adeque às normas, sob pena de multas diárias de €100 mil. O caso ocorre em um contexto mais amplo de crescente vigilância sobre a privacidade dos dados, com ações semelhantes sendo tomadas contra outras empresas, como a Disney nos EUA, por violações de privacidade infantil.

Um relatório do MIT revelou que 40% das organizações adquiriram assinaturas de LLMs empresariais, mas mais de 90% dos funcionários utilizam ferramentas de IA no dia a dia. A pesquisa da Harmonic Security indica que 45,4% das interações sensíveis com IA ocorrem em contas de e-mail pessoais, o que levanta preocupações sobre a chamada ‘Economia de IA Sombra’. Essa situação ocorre porque a adoção de IA é impulsionada pelos funcionários, e não por diretrizes corporativas. Muitas empresas tentam bloquear o acesso a plataformas de IA, mas essa estratégia falha, pois a IA está integrada em quase todos os aplicativos SaaS. Para mitigar riscos, as equipes de segurança precisam entender e governar o uso de IA, tanto em contas autorizadas quanto não autorizadas. A descoberta da IA Sombra é essencial para manter a conformidade regulatória e proteger dados sensíveis. A Harmonic Security oferece soluções para monitorar o uso de IA e aplicar políticas de governança adequadas, permitindo que as empresas se beneficiem da produtividade da IA, enquanto protegem suas informações.

O Google anunciou que começará a verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, incluindo aqueles que o fazem fora da Play Store. A medida visa aumentar a responsabilidade e dificultar a distribuição de aplicativos maliciosos. A partir de outubro de 2025, convites para a verificação serão enviados gradualmente, com a implementação total prevista para setembro de 2026 em países como Brasil, Indonésia, Cingapura e Tailândia. A vice-presidente do Android, Suzanne Frey, destacou que todos os aplicativos instalados em dispositivos Android certificados nessas regiões precisarão ser registrados por desenvolvedores verificados. Embora os desenvolvedores que já utilizam a Play Store não enfrentem grandes mudanças, a nova exigência busca impedir que atores maliciosos se façam passar por desenvolvedores legítimos. Além disso, a Google já havia implementado outras medidas de segurança, como a exigência de um número D-U-N-S para novos registros de contas de desenvolvedores organizacionais. Essas mudanças visam proteger os usuários de malware e fraudes, mantendo a escolha do usuário enquanto reforçam a segurança do ecossistema Android.

O governo do Reino Unido abandonou suas tentativas de forçar a Apple a enfraquecer suas proteções de criptografia, que incluiriam a implementação de um backdoor para acesso a dados criptografados de cidadãos americanos. A decisão foi anunciada pela Diretora de Inteligência Nacional dos EUA, Tulsi Gabbard, que destacou a importância da proteção das liberdades civis dos americanos. A Apple havia desativado sua funcionalidade de Proteção Avançada de Dados (ADP) para iCloud no Reino Unido em fevereiro de 2025, em resposta a exigências governamentais por acesso a dados criptografados. A empresa reiterou que nunca construiu um backdoor para seus produtos e serviços. A ordem secreta que exigia a implementação do backdoor foi emitida pelo Ministério do Interior do Reino Unido sob a Lei de Poderes de Investigação, visando acesso irrestrito a dados criptografados, incluindo backups. Críticos alertaram que tal acesso poderia ser explorado por cibercriminosos e governos autoritários. Enquanto isso, o Google e a Meta afirmaram não terem recebido solicitações semelhantes do governo britânico. A situação destaca a tensão entre segurança digital e privacidade, especialmente em um contexto de crescente preocupação com violações de dados e privacidade do consumidor.