Pesquisa recente da organização de privacidade webXray revelou que gigantes da tecnologia estão violando sistematicamente solicitações de não rastreamento de usuários, com Google, Meta e Microsoft colocando cookies de rastreamento de anúncios em navegadores mesmo após usuários optarem por não serem rastreados — potencialmente infringindo a legislação da Califórnia. O estudo, que analisou tráfego web californiano em março de 2026, expõe falhas alarmantes na implementação do Global Privacy Control (GPC), mecanismo projetado para automatizar solicitações de exclusão.
Estatísticas Alarmantes de Não Conformidade
A escala da não conformidade é significativa: segundo a auditoria, o Google ignorou solicitações de exclusão em 86% dos casos, a Meta em 69% e a Microsoft em 50%. Esses números indicam que os sistemas de anúncios das empresas carregam e disparam eventos de rastreamento incondicionalmente, sem verificar o sinal GPC enviado pelos navegadores dos usuários. O mecanismo, que deveria ser universalmente respeitado por empresas que operam na Califórnia, está sendo sistematicamente ignorado.
Risco Legal e Financeiro Concreto
A Califórnia já demonstrou disposição para fazer cumprir essas regras, tendo anteriormente multado a Sephora em US$ 1,2 milhão e a Disney em US$ 2,75 milhões por violações similares. Essa jurisprudência estabelece que a não conformidade contínua representa risco legal e financeiro real para essas plataformas. As empresas estão operando em território perigoso, especialmente considerando que a pesquisa documenta violações em larga escala do California Consumer Privacy Act (CCPA).
NIST Limita Trabalho em Entradas CVE Diante de Aumento de Submissões
Paralelamente às questões de privacidade, o NIST anunciou mudanças significativas na gestão de vulnerabilidades. Diante de um aumento de quase um terço nas submissões de CVE no início de 2026 em comparação com o mesmo período do ano anterior, a agência migrará para um modelo baseado em prioridades, deixando de enriquecer todas as vulnerabilidades submetidas ao National Vulnerability Database.
A partir de agora, o NIST apenas adicionará pontuações de severidade e dados contextuais a CVEs que apareçam no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, sejam usados em produtos do governo federal ou atendam a um limiar de software crítico. Milhares de outras submissões permanecerão essencialmente sem enriquecimento, com o backlog existente de CVEs anteriores a 1º de março de 2026 sendo movido para uma categoria “Não Agendado”.
Ferramentas de IA e o Problema de Volume
Especialistas apontam ferramentas de revisão de código assistidas por IA como um dos principais impulsionadores da inundação de submissões, alertando que o problema de volume só piorará. O modelo centralizado de enriquecimento pode não ser mais sustentável em escala, forçando organizações a desenvolverem capacidades internas para avaliar vulnerabilidades que não receberão análise do NIST. Essa mudança representa um desafio significativo para programas de gestão de vulnerabilidades que dependiam do enriquecimento padronizado.
Ataque Cibernético a Sistema Escolar na Irlanda do Norte
Um adolescente de 16 anos foi preso em Portadown, Irlanda do Norte, em conexão com um ataque cibernético que derrubou o sistema de TI compartilhado usado por quase todas as escolas da região. O ataque visou o sistema C2K, uma plataforma centralizada que serve aproximadamente 300.000 estudantes e 20.000 professores, fornecendo acesso a materiais de ensino, tarefas e ferramentas de comunicação.
Autoridades confirmaram que o incidente envolveu um ataque direcionado a um pequeno número de escolas e acredita-se que tenha comprometido alguns dados pessoais. O timing foi particularmente disruptivo — o ataque ocorreu durante um período crítico de exames, forçando algumas escolas a abrirem durante as férias da Páscoa para ajudar estudantes a redefinirem senhas e recuperarem acesso antes dos exames iminentes.
Alerta do Reino Unido Sobre Riscos Cibernéticos e IA Anthropic
O governo britânico emitiu uma carta aberta urgindo líderes empresariais a fortalecerem defesas cibernéticas, motivada em parte pela preocupação com o modelo Mythos da Anthropic, que demonstrou capacidade de descobrir e explorar vulnerabilidades de software autonomamente. O AI Security Institute do Reino Unido avaliou o Mythos e o considerou mais capaz em ofensivas cibernéticas do que qualquer modelo previamente avaliado.
O alarme se estende além do setor tecnológico: o governador do Banco da Inglaterra sinalizou riscos cibernéticos sistêmicos potenciais do modelo, enquanto pesquisadores de segurança alertaram que alegações iniciais podem exagerar a ameaça imediata. A mensagem central do governo é que a higiene cibernética básica — correção de vulnerabilidades, monitoramento e planejamento de resposta a incidentes — permanece adotada de forma desigual na indústria, e ataques habilitados por IA exporão cada vez mais organizações que não tomaram essas medidas fundamentais.
“O modelo centralizado de enriquecimento pode não ser mais sustentável em escala, forçando organizações a desenvolverem capacidades internas para avaliar vulnerabilidades que não receberão análise do NIST.”
Convergência de Desafios: Privacidade, Vulnerabilidades e IA Ofensiva
Os desenvolvimentos documentados representam uma convergência preocupante de desafios de segurança cibernética. De um lado, violações sistemáticas de privacidade por gigantes tecnológicos que ignoram mecanismos legais de proteção. De outro, a sobrecarga do sistema de gestão de vulnerabilidades forçando mudanças operacionais fundamentais. E finalmente, o surgimento de capacidades ofensivas de IA que podem explorar vulnerabilidades de forma autônoma.
Essa tríade exige respostas coordenadas: conformidade rigorosa com regulamentações de privacidade, adaptação a novos modelos de priorização de vulnerabilidades e fortalecimento de defesas básicas contra ameaças cada vez mais sofisticadas. Organizações que não se adaptarem a essa nova realidade enfrentarão riscos legais, operacionais e de segurança significativos.
Análise baseada no Cyber Daily da Recorded Future (05/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário