O relatório do Citizen Lab sobre o sistema Webloc revela um cenário alarmante de vigilância em massa através de dados de geolocalização precisos. A ferramenta, desenvolvida pela Cobweb Technologies e agora comercializada pela Penlink após fusão em 2023, oferece acesso a registros de “até 500 milhões de dispositivos móveis em todo o mundo”. Esses registros contêm identificadores de dispositivos, coordenadas de localização e dados de perfil de aplicativos móveis e publicidade digital.
Capacidades de Rastreamento e Casos de Uso
O documento técnico vazado detalha como o Webloc pode ser usado para rastreamento individual de dispositivos e descoberta de alvos. Um homem em Abu Dhabi foi rastreado até 12 vezes por dia, com seu telefone relatando localização via GPS ou proximidade com pontos de acesso WiFi. Outro exemplo identificou dois dispositivos localizados em áreas específicas da Romênia e Itália em horários determinados. A granularidade dos dados disponíveis é descrita como “francamente assustadora”.
Clientes Governamentais e Aplicações Policiais
O relatório documenta clientes atuais e anteriores do Webloc em níveis federal e estadual dos EUA. A lista inclui o Departamento de Segurança Interna (incluindo Imigração e Controle Alfandegário), unidades das Forças Armadas dos EUA e a Polícia do Bureau de Assuntos Indígenas. Em nível estadual, departamentos de polícia e agências de aplicação da lei na Califórnia, Texas, Nova York e Arizona também foram clientes.
Um relatório trimestral interno do departamento de polícia de Tucson descreve como o Webloc foi usado para localizar um suspeito de roubo serial de cigarros. O sistema identificou um único dispositivo que estava próximo durante todos os roubos, sempre retornando ao mesmo endereço após cada incidente. O suspeito era o parceiro de um funcionário do primeiro negócio atingido.
Integração com Tangles e Preocupações com Liberdades Civis
O Webloc não é o produto principal da Penlink, mas um complemento opcional para sua plataforma principal, Tangles – uma ferramenta de investigações web e mídia social. Segundo manuais de treinamento vazados, clientes governamentais e comerciais podem pesquisar por palavras-chave e identificadores pessoais como nomes, endereços de e-mail, números de telefone e nomes de usuário para identificar contas online e analisar postagens, interações, relacionamentos, atividades e interesses.
A integração do Tangles com o Webloc é particularmente preocupante, pois permite vincular identificadores de dispositivos móveis teoricamente anônimos a contas de mídia social sem necessidade de mandado judicial. Cada uso descrito representa uma capacidade investigativa valiosa, mas essas ferramentas intrusivas deveriam ter procedimentos rigorosos de autorização e supervisão.
Riscos de Segurança Nacional e Clientes Internacionais
Se os dados podem ser usados por agências de aplicação da lei americanas, os mesmos dados podem ser usados por serviços de inteligência estrangeiros para direcionar interesses dos EUA. O Citizen Lab relata que os clientes internacionais da Penlink incluem a agência de inteligência doméstica da Hungria e a Polícia Nacional Civil de El Salvador, demonstrando que autoridades estrangeiras já utilizam dados de geolocalização móvel para seus próprios propósitos domésticos.
Embora essas organizações sejam focadas internamente, é ingênuo pensar que adversários capazes não adquirirão os dados e construirão suas próprias plataformas de inteligência. Os EUA precisam não apenas restringir o uso doméstico desses dados, mas também reprimir a criação e venda dos próprios dados de geolocalização.
Progresso Regulatório e Soluções Estaduais
Há algum progresso regulatório: o estado da Virgínia promulgou recentemente uma proibição da venda de dados de geolocalização precisos dos clientes. Como as leis federais de privacidade propostas não progrediram nos últimos anos, essa medida estadual representa uma abordagem prática para começar a abordar o problema. No entanto, proibições em nível estadual são apenas um começo – uma solução mais abrangente em nível federal é necessária.
IA Como Equipe de Ataque Acelerada
Um relatório detalhado da empresa de segurança Gambit documenta como atores de ameaças podem aproveitar modelos de IA para aprimorar e acelerar atividades criminosas. O estudo detalha como um único hacker usou duas plataformas de IA comerciais para violar nove organizações do governo mexicano, roubando centenas de milhões de registros de cidadãos e construindo um serviço de falsificação de certificados fiscais em semanas.
O Claude Code gerou e executou cerca de 75% dos comandos de execução remota de código. Uma vez que as redes foram violadas, a API GPT-4.1 da OpenAI foi usada para ajudar no planejamento de atividades pós-exploração, analisando dados coletados por reconhecimento automatizado. Uma ferramenta Python personalizada de 17.550 linhas (presumivelmente criada por IA) extraiu dados de servidores comprometidos e os alimentou no GPT-4.1 para análise, produzindo 2.957 relatórios de inteligência estruturados de 305 servidores da autoridade tributária mexicana.
A lição fundamental não é que a IA permitiu que uma campanha de hacking fizesse coisas novas e sem precedentes – as técnicas usadas não são novidade. No entanto, a IA permitiu que um único indivíduo operasse em velocidade muito maior do que anteriormente possível, essencialmente funcionando como uma pequena equipe. Os modelos atuais de fronteira estão provando ser muito úteis para acelerar operações de hackers, e a IA só está melhorando.
Notícias Positivas: Interrupções e Avanços Técnicos
Três desenvolvimentos positivos merecem destaque: 1) O Departamento de Justiça dos EUA anunciou a desativação autorizada pela corte de uma botnet SOHO executada pelo GRU russo, que comprometia roteadores TP-Link e sequestrava consultas DNS para facilitar ataques adversary-in-the-middle; 2) O FBI e autoridades indonésias desmantelaram uma operação de phishing centrada no kit de phishing W3LL, com a polícia nacional indonésia prendendo o suposto desenvolvedor do kit; 3) As Credenciais de Sessão Vinculadas a Dispositivos (DBSC) estão chegando ao Chrome 146 para Windows, prevenindo o roubo de sessão ao vincular criptograficamente tokens de autenticação a dispositivos específicos.
Análise baseada no Seriously Risky Business Newsletter (16/04/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário