Voltar ao arquivo

Edição 06 · 13 de julho de 2026

Edition 06

Chat Control de volta por uma manobra processual, quatro governos em tribunal por causa do NIS2, 281 VPNs gratuitas com fugas, a Meta a usar a sua face por predefinição, e um sistema operativo que observa tudo até o parar.

Por Christophe Mazzola, CISO em exercício e fundador da Cyber Academy.

Receba o próximo GRC Brief na sua caixa de entrada.

Subscrever The GRC Brief

Uma maioria de eurodeputados votou contra. Passou na mesma.

Dois rótulos, duas realidades muito diferentes. O Chat Control 1.0 é a derrogação voluntária que permite às plataformas analisar mensagens não cifradas em busca de CSAM. Expirou em abril, quando o Parlamento se recusou a renová-lo. A 2 de julho, o Conselho ressuscitou-o e enviou a sua posição ao Parlamento ao abrigo de um procedimento de urgência, agendado para a última sessão antes da pausa estival. A 9 de julho, bloqueá-lo exigia uma maioria absoluta: 361 dos 720 eurodeputados. A rejeição obteve 314 votos contra 276; mais membros opuseram-se do que apoiaram, mas ficou 47 votos abaixo do limiar e o texto sobreviveu. O Parlamento aprovou alterações separadas excluindo os serviços com cifra ponta a ponta, que regressam agora ao Conselho. A versão permanente e obrigatória, o Chat Control 2.0, aquela que poderia impor a análise do lado do cliente em aplicações cifradas, continua bloqueada em trílogo, com a próxima ronda em setembro. Os defensores da medida, incluindo grandes plataformas norte-americanas, argumentam que a análise voluntária é indispensável para continuar a detetar e denunciar abusos.

Fonte: My full analysis · christophemazzola.fr

A minha análise

É a pior notícia desta edição e deve provocar indignação. Retire-se o procedimento: mais eurodeputados votaram contra a reativação da análise massiva de mensagens do que a favor, e passou na mesma. O limiar para rejeitar uma posição do Conselho é deliberadamente elevado, uma maioria absoluta, mas a votação foi forçada por um procedimento de urgência e marcada para a última sessão antes do verão, quando grande parte do hemiciclo já tinha ido embora. A maioria disse não. O calendário disse sim.

Agora a parte que a maioria das análises erra, e que não deve errar. O que regressou é o 1.0, a análise voluntária de mensagens não cifradas, não a análise obrigatória do lado do cliente em aplicações cifradas. A exclusão da cifra foi aprovada, pelo que o Signal, o WhatsApp e o iMessage ficam formalmente fora desta versão. A versão perigosa, o 2.0, continua viva em trílogo e chega em setembro. A vitória para a cifra é real, mas estreita, e o combate que importa está a três meses de distância.

Se aconselha alguém que desenvolva um produto cifrado, ou uma equipa de política que acompanhe este dossier, marque setembro na agenda já. O precedente estabelecido esta semana é processual, não técnico. Mas o apetite é evidente, e quem quer analisar tudo acaba de aprender que pode ganhar uma votação que perdeu.

Quatro governos ignoraram a lei de cibersegurança. A UE levou-os a tribunal.

A 8 de julho, a Comissão Europeia remeteu a Irlanda, Espanha, França e os Países Baixos ao Tribunal de Justiça por não terem transposto o NIS2, a diretiva de cibersegurança de referência da UE, para o direito nacional. O prazo de transposição era outubro de 2024, pelo que os quatro países acumulam mais de vinte meses de atraso. A Comissão pede ao Tribunal que aplique uma sanção pecuniária de montante fixo acrescida de penalizações diárias até cada Estado notificar a transposição integral. Para ter noção da frequência deste atraso: em janeiro de 2025, apenas seis dos vinte e sete Estados-membros o tinham transposto. Alguns dos quatro já estão em movimento; os Países Baixos aprovaram a sua lei a 7 de julho, véspera da remessa, e a Irlanda prevê notificar até ao final do ano. E o momento tem um ângulo cortante: a Irlanda assumiu a presidência rotativa do Conselho da UE a 1 de julho, uma semana antes de ser levada ao mais alto tribunal da própria UE.

Fonte: European Commission · Commission referral, 8 Jul 2026

A minha análise

Leia esta notícia a seguir à anterior e o contraste resume toda a newsletter. A única lei da UE que obriga as organizações a defenderem-se concretamente, o NIS2, permaneceu por implementar em quatro países durante vinte meses, incluindo o meu. Bruxelas consegue acelerar um regime de análise em uma semana, mas a diretiva que protege hospitais e redes elétricas aguarda dois anos e uma citação judicial.

O ponto prático é direto, e faço-o em todas as formações. O atraso do seu governo não é um escudo. O prazo expirou em outubro de 2024. As obrigações, gestão do risco, reporte de incidentes, deveres na cadeia de fornecimento, são a direção do setor independentemente de quando Madrid ou Paris concluem a papelada. Se gere uma entidade regulada e tem aguardado a lei nacional como desculpa, tem estado a acumular dívida, e a fatura comprime-se no momento em que o texto entra em vigor.

E saboreie o momento. A Irlanda assumiu a presidência do Conselho da UE a 1 de julho e foi arrastada para o tribunal da própria UE a 8 de julho. Quem devia liderar em matéria de ciber não conseguiu implementar a lei de cibersegurança. Se precisava de prova de que sensibilização e execução são coisas diferentes, está aqui.

281 VPNs gratuitas testadas. A privacidade era teatro.

Investigadores submeteram 281 das VPNs gratuitas para Android mais populares, com mais de 2,4 mil milhões de instalações no total, a um novo quadro de auditoria denominado MVPNalyzer, desenvolvido por equipas das universidades do Michigan, Novo México e IIT Delhi. As falhas são elementares. Vinte e nove aplicações deixam escapar tráfego fora do túnel, incluindo as consultas DNS que revelam os sites visitados. Sessenta e uma enviam alguns dados em texto simples, e cinco dessas obtêm o ficheiro de configuração em claro, o que permite a um atacante na mesma rede redirecionar a ligação para um servidor sob o seu controlo. Mais de 80 por cento contactaram servidores de publicidade e rastreamento conhecidos, 76 enviaram o identificador publicitário do dispositivo, e uma aplicação transmitiu as coordenadas GPS exatas do telemóvel. A conclusão que os investigadores sublinham: uma VPN transfere a sua confiança do seu fornecedor de internet para quem criou a aplicação, e o selo Verified da Play Store funciona mais como marketing do que como garantia de segurança.

Fonte: The Hacker News · MVPNalyzer study, 10 Jul 2026

A minha análise

A mesma lição do bloqueador de anúncios de há umas semanas, com roupa nova. As pessoas instalam estas aplicações para estarem mais seguras e entregam o seu tráfego a quem escreveu o código. 2,4 mil milhões de instalações, e o básico está partido: fugas de DNS, ficheiros de configuração em claro, rastreadores por todo o lado, uma aplicação a enviar o GPS. O selo Verified não serviu de nada, porque um selo é um rótulo de marketing, não um controlo.

Para a sua organização, isto não é uma nota de rodapé de consumidor. É shadow IT nos endpoints que tocam nos seus dados. Alguém na sua equipa instala uma VPN gratuita no telemóvel que acede ao correio da empresa, e agora o seu tráfego passa por um operador que nunca avaliou, possivelmente em claro. As VPNs gratuitas não são uma ferramenta de privacidade. São um modelo de negócio, e você é o inventário.

O único filtro real é a proveniência. Uma auditoria independente recente, propriedade clara, um negócio pago com dinheiro em vez de com os seus dados. Tudo o resto, incluindo as declarações de zero registos, é um ponto de partida, não uma prova.

A Meta vai transformar as suas fotos públicas em imagens de IA por predefinição.

A Meta lançou o Muse Image, um novo modelo de IA que permite às pessoas mencionar com @ uma conta pública do Instagram e gerar imagens a partir das fotos, vídeos e reels públicos dessa pessoa. Está ativo por predefinição. Qualquer pessoa pode identificar um perfil público para criar conteúdo reutilizando parte ou a totalidade dos seus meios de comunicação publicados, e dependendo das definições esse conteúdo gerado por IA pode aparecer nos resultados de pesquisa. As pessoas não são notificadas quando as suas imagens são remixadas desta forma. Tornar a conta privada por mais de um dia elimina os reels e publicações que outros criaram a partir do seu conteúdo, mas tudo o que já foi gerado com as funcionalidades de IA permanece. A Meta afirma que os utilizadores têm controlo total e podem desativar a opção, enterrada em Definições, depois em Partilha e reutilização. É o mesmo padrão de opt-out por predefinição que a Google acabou de usar para começar a introduzir os conteúdos dos utilizadores autenticados nos seus modelos de IA.

Fonte: The Hacker News · Meta Muse Image, 9 Jul 2026

A minha análise

Ativo por predefinição, e nem sequer é informado quando acontece. Reflita nisso. A Meta vai pegar nas suas fotos públicas, deixar um desconhecido mencioná-lo com @, e gerar imagens suas, sendo que a primeira vez que ouve falar disso é nunca. Controlo, na versão da Meta, significa um botão que não sabia que existia, enterrado a três menus de profundidade, que não apaga nada do que já foi criado.

Este é o problema de consentimento que toda a indústria está a ultrapassar a alta velocidade. Opt-out por predefinição não é consentimento, é teatro de consentimento, e na UE isso não é um debate de UX, é um debate de GDPR. A Google fez o mesmo este mês com os seus conteúdos e a sua IA. O padrão é o indício: primeiro tomar, depois oferecer um botão escondido, notificar nunca.

Dois minutos de arrumação se utiliza o Instagram: Definições, Partilha e reutilização, desativar publicações e reels. Faça-o também para as contas públicas que gere. E lembre-se que só impede o próximo remix, não os que já existem.

O identificador Windows que não pode desativar acabou de apanhar um hacker.

Uma queixa federal norte-americana tornada pública recentemente revelou um identificador Windows que a maioria das pessoas nunca tinha ouvido falar: o Global Device Identifier, ou GDID. É um identificador persistente ao nível do dispositivo que a Microsoft atribui quando inicia sessão com uma conta Microsoft; associa a atividade que o seu PC comunica à Microsoft a uma única identidade, e sobrevive a atualizações do Windows. Não existe ecrã de consentimento nem verdadeiro interruptor de desativação: não é possível impedir o Windows de o gerar sem quebrar a ativação, e reinstalar apenas fornece um novo número que a Microsoft pode associar à mesma conta. Até este caso, a Microsoft havia-o documentado numa única frase, numa tabela de referência empresarial do Azure. O caso em si: um alegado membro dos Scattered Spider com 19 anos comprometeu uma joalharia norte-americana através de engenharia social ao helpdesk, operando depois por detrás de proxies VPN. Esses IPs de proxy eram becos sem saída, mas os registos da Microsoft associaram o GDID da sua máquina tanto ao momento do registo do atacante como ao site da vítima, ao mesmo minuto, e os investigadores identificaram depois esse mesmo identificador nas suas contas pessoais em quatro países ao longo de oito meses. A VPN rodava. O GDID não.

Fonte: Windows Latest · GDID / FBI complaint, 10 Jul 2026

A minha análise

Dois itens acima, as VPNs gratuitas estavam a expô-lo. Aqui está a versão mais difícil da mesma lição: mesmo uma VPN que funcione na perfeição não serve de nada se o próprio sistema operativo carimba um identificador permanente em tudo o que faz. O hacker usou proxies. Eram becos sem saída. O identificador Windows por baixo não era. O anonimato não é uma ferramenta única; é o elo mais fraco de toda a cadeia, e o sistema operativo é geralmente esse elo.

Ninguém chora por um membro dos Scattered Spider, e este identificador também serve à Microsoft para gerir licenciamento e fraude, o que são fins razoáveis. O que deve incomodar é a assimetria. A Apple e a Google protegem os identificadores de dispositivo com um pedido de consentimento e a possibilidade de reset. A Microsoft disponibiliza um sem qualquer pedido, sem reset, com uma frase de documentação pública, associado à sua conta e não a si enquanto pessoa, e o público só ficou a saber da sua existência porque um processo judicial o explicitou.

Para o seu modelo de ameaça, seja preciso sobre o que uma VPN lhe compra: oculta o caminho de rede, não a identidade da sua máquina. Se a identidade em si é o risco, jornalismo, ativismo, uma pessoa em situação de vulnerabilidade, a conversa é sobre conta local, Linux ou Tails, não sobre VPN. Para uma frota gerida, é mais uma razão pela qual a sua estratégia de identidade de endpoint não pode parar na camada de rede.

Gostou desta? Receba a próxima.

Aterre na próxima.

Cinco coisas que se moveram em GRC, todas as segundas. Análise honesta, sem reciclar comunicados.

Subscrever The GRC Brief