Notícias de segurança desta semana: Nossa, as câmeras do banheiro da Kohler não são realmente criptografadas de ponta a ponta

Uma imagem de IA inicialização do criador deixou seu banco de dados inseguroexpondo mais de um milhão de imagens e vídeos criados por seus usuários – a “esmagadora maioria” dos quais retratava nus e até imagens nuas de crianças. Um relatório do inspetor geral dos EUA divulgou sua determinação oficial de que o secretário de Defesa Pete Hegseth colocou militares em risco por sua negligência no escândalo SignalGatemas recomendou apenas uma revisão de conformidade e consideração de novos regulamentos. O CEO da Cloudflare, Matthew Prince, disse à WIRED no palco em nosso Grande Entrevista evento em São Francisco esta semana que sua empresa bloqueou mais de 400 bilhões de solicitações de bots de IA para seus clientes desde 1º de julho.

UM nova lei de Nova York exigirá que os varejistas divulguem se os dados pessoais coletados sobre você resultarem em alterações algorítmicas em seus preços. E traçamos o perfil de uma nova operadora de celular com o objetivo de oferecer o mais próximo possível de serviço telefônico verdadeiramente anônimo— e seu fundador, Nicholas Merrill, que passou mais de uma década no tribunal lutando contra uma ordem de vigilância do FBI direcionada a um dos clientes de seu provedor de serviços de Internet.

Colocar um dispositivo digital com câmera em seu banheiro que carrega uma análise de seus resíduos corporais reais para uma empresa representa uma ideia tão ridiculamente ruim que, há 11 anos, foi objeto de uma infomercial de paródia. Em 2025, é um produto real – e cujos problemas de privacidade, apesar da cópia de marketing da empresa por trás dele, revelaram-se exatamente tão graves quanto qualquer ser humano normal poderia imaginar.

O pesquisador de segurança Simon Fondrie-Teitler publicou esta semana uma postagem no blog revelando que o Dekota, um dispositivo inteligente com câmera vendido pela Kohler, na verdade não usa “criptografia ponta a ponta”, como afirmava. Esse termo normalmente significa que os dados são criptografados para que apenas os dispositivos do usuário em qualquer “extremidade” de uma conversa possam descriptografar as informações contidas nele, e não o servidor que fica entre eles e hospeda essa comunicação criptografada. Mas Fondrie-Teitler descobriu que o Dekota apenas criptografa seus dados do dispositivo para o servidor. Em outras palavras, de acordo com a definição de criptografia ponta a ponta da empresa, uma extremidade é essencialmente – perdoe-nos – seu backend, e a outra é o backend de Kohler, onde as imagens de sua saída são “descriptografadas e processadas para fornecer nosso serviço”, como escreveu a empresa em comunicado à Fondrie-Teitler.

Em resposta à sua postagem apontando que isso geralmente é não o que significa criptografia de ponta a ponta, Kohler removeu todas as ocorrências desse termo de suas descrições do Dekota.

A campanha de ciberespionagem conhecida como Salt Typhoon representa um dos maiores desastres da contra-espionagem na história moderna dos EUA. Hackers chineses patrocinados pelo Estado infiltraram-se em praticamente todas as telecomunicações dos EUA e obtiveram acesso a chamadas e mensagens de texto em tempo real de americanos – incluindo os então candidatos presidenciais e vice-presidenciais Donald Trump e JD Vance. Mas, de acordo com o Financial Times, o governo dos EUA recusou-se a impor sanções à China em resposta a essa onda de hackers no meio do esforço da Casa Branca para chegar a um acordo comercial com o governo da China. Essa decisão levou a críticas de que a administração está a recuar em iniciativas importantes de segurança nacional, num esforço para acomodar os objectivos económicos de Trump. Mas vale a pena notar que a imposição de sanções em resposta à espionagem sempre foi uma medida controversa, dado que os Estados Unidos, sem dúvida, realizam muitos ataques de hackers orientados para a espionagem em todo o mundo.

À medida que 2025 chega ao fim, a principal agência de defesa cibernética do país, a Agência de Infraestrutura e Cibersegurança (CISA), ainda não tem diretor. E o indicado para ocupar esse cargo, antes considerado uma escolha certa, agora enfrenta obstáculos no Congresso que podem ter prejudicado permanentemente suas chances de dirigir a agência. O nome de Sean Plankey foi excluído da votação do Senado na quinta-feira em um painel de nomeações, sugerindo que sua nomeação pode estar “acabada”, de acordo com o CyberScoop. A nomeação de Plankey enfrentou várias oposições de senadores de ambos os lados do corredor com uma ampla mistura de demandas: o senador republicano da Flórida, Rick Scott, suspendeu sua nomeação devido ao Departamento de Segurança Interna (DHS) rescindir um contrato da Guarda Costeira com uma empresa em seu estado, enquanto os senadores republicanos da Carolina do Norte se opuseram a quaisquer novos indicados do DHS até que o financiamento para ajuda em desastres fosse alocado ao seu estado. Enquanto isso, o senador democrata Ron Wyden exigiu que a CISA publicasse um relatório há muito aguardado sobre segurança de telecomunicações antes de sua nomeação, que ainda não foi divulgado.

A campanha de hackers chinesa centrada no malware conhecido como “Brickstorm” veio à tona pela primeira vez em setembro, quando o Google alertou que a ferramenta de espionagem furtiva tem infectado dezenas de organizações vítimas desde 2022. Agora, a CISA, a Agência de Segurança Nacional e o Centro Canadense de Segurança Cibernética acrescentaram conjuntamente aos avisos do Google esta semana em um comunicado sobre como detectar o malware. Eles também alertaram que os hackers por trás disso parecem estar posicionados não apenas para espionagem visando a infraestrutura dos EUA, mas também para ataques cibernéticos potencialmente perturbadores. O mais perturbador, talvez, seja um dado específico do Google, que mede o tempo médio até que as violações do Brickstorm sejam descobertas na rede de uma vítima: 393 dias.