A declaração do diretor do FBI, Kash Patel, em uma audiência no Senado confirmou o que era uma preocupação teórica: a agência está comprando dados de localização comercialmente disponíveis para rastrear cidadãos americanos. Essa prática, que contorna a necessidade de mandados judiciais exigidos para obter dados similares diretamente das operadoras, representa uma expansão significativa e preocupante das capacidades de vigilância doméstica. A justificativa de “inteligência valiosa” para combater crimes graves não elimina os riscos sistêmicos à privacidade e à Quarta Emenda.
Dados Comerciais: Um Atalho Para Vigilância Sem Controle
Os dados de localização adquiridos de corretores de dados (data brokers) são derivados de uma miríade de fontes, como aplicativos de celular, e podem ser tão intrusivos e precisos quanto os registros de torres de celular. A compra dessas informações permite à agência construir um “padrão de vida” detalhado de indivíduos sem qualquer supervisão judicial. Embora o governo Biden tenha emitido uma ordem executiva em 2024 para limitar a venda desses dados a adversários estrangeiros, citando riscos à segurança nacional, a prática agora é adotada internamente pelo FBI contra cidadãos.
A defesa do senador Tom Cotton, de que o FBI deve usar qualquer ferramenta disponível para prender criminosos, ignora o princípio fundamental de freios e contrapesos. Poderes coercitivos e intrusivos exigem salvaguardas proporcionais. A ausência de transparência sobre como esses dados são usados e a aparente falta de investimento da administração Trump em supervisão independente tornam a situação ainda mais arriscada. O Government Surveillance Reform Act, um projeto de lei bipartidário, busca corrigir essa lacuna exigindo um mandado para a compra de dados sensíveis sobre americanos.
Proibição de Roteadores Estrangeiros: Segurança ou Protecionismo?
Em uma movimentação paralela, a FCC (Federal Communications Commission) proibiu a importação de novos modelos de roteadores de consumo fabricados fora dos EUA. A justificativa de segurança nacional cita o grupo de hackers patrocinado pelo estado chinês Salt Typhoon, a preferência por dispositivos de borda como vetores de ataque e a proliferação de botnets a partir de roteadores comprometidos. No entanto, uma análise dos requisitos para a “Aprovação Condicional” revela um objetivo mais protecionista do que de segurança.
As empresas que desejam importar novos modelos devem apresentar um “plano detalhado e com prazo definido para estabelecer ou expandir a fabricação nos Estados Unidos”. Notavelmente ausente está qualquer exigência para um plano de segurança robusto, adoção de práticas Secure-by-Design ou conformidade com as diretrizes do NIST. O problema central dos roteadores de consumo vulneráveis não é sua geografia de fabricação, mas os incentivos de mercado que priorizam custo e desempenho em detrimento da segurança. Uma abordagem mais eficaz vincularia os níveis de tarifas aos resultados de avaliações de segurança, pressionando os fabricantes a melhorarem seus produtos.
A Nova Estratégia Cibernética: Setor Privado como Sensores, não Piratas
Comentários do Diretor Nacional de Cibernética, Sean Cairncross, esclarecem a abordagem da administração Trump descrita em sua nova Estratégia Cibernética. Ao invés de “liberar” o setor privado para realizar ações ofensivas, a visão é utilizá-lo como uma rede de sensores para “iluminar o campo de batalha”. A ideia é que as empresas compartilhem informações sobre ameaças observadas em suas redes para que o governo possa “responder e se antecipar”.
Essa postura representa um alinhamento potencialmente mais realista de incentivos do que parcerias público-privadas anteriores. O governo busca inteligência para ações de resposta e punição, enquanto as empresas obtêm um caminho para contribuir com a defesa nacional. Embora menos agressiva do que a retórica de “liberar” o setor privado poderia sugerir, essa colaboração focada em inteligência pode ser mais sustentável e eficaz no longo prazo.
“If any other person can buy it, and the FBI can buy it, and it helps them locate a depraved child molester or savage cartel leader, I would certainly hope the FBI is doing anything it can to keep Americans safe.” – Sen. Tom Cotton (R-Ark)
Três Motivos para Otimismo na Semana
- Desmontagem de Quatro Botnets de DDoS: Uma operação internacional liderada pelo Departamento de Justiça dos EUA, com apoio do Canadá e Alemanha, desativou as redes de bots IoT Aisuru, Kimwolf, JackSkid e Mossad através de apreensões de domínios autorizadas pela justiça e ações contra seus operadores.
- Japão Aprova Defesa Cibernética Ativa: O gabinete japonês aprovou formalmente operações de defesa cibernética ativa, permitindo que o governo tome medidas proativas para interromper ameaças, em vez de apenas reagir a ataques.
- Resposta Alemã a 0-day com Urgência Máxima: A polícia alemã realizou visitas pessoais a administradores de sistemas durante a noite para alertar sobre uma vulnerabilidade crítica (CVE-2026-XXXXX) nos produtos Windchill e FlexPLM da PTC, demonstrando um nível excepcional de seriedade na mitigação de riscos.
Notas Rápidas do Risky Bulletin
CEO da Intellexa Ameaça Revelar Segredos: Tal Dilian, condenado a mais de 126 anos de prisão na Grécia pelo escândalo Predatorgate, afirma estar sendo bode expiatório e se oferece para testemunhar sobre operações ilegais de vigilância do governo grego.
GitHub como Vetor de Malware Crescente: A plataforma está sendo cada vez mais abusada por atores de ameaças para hospedar repositórios de software legítimo injetados com malware, como infostealers e RATs.
AWS Mitiga Ataque de Bucketsquatting: A Amazon Web Services implementou um novo recurso de segurança para ajudar clientes a prevenir ataques de “sequestro” de nomes de buckets S3, onde atores registram buckets com nomes previsíveis de buckets deletados para capturar dados.
Análise baseada no Seriously Risky Business Newsletter (26/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário