Pular para o conteúdo
PLPerito Lucio

Resumo Semanal de Segurança da Informação

03/04/2026

O Diário da Segurança Digital

Edição 004 • Perito Lucio • 27 de Março a 03 de Abril de 2026

A

primeira semana de abril de 2026 não foi para amadores. O Brasil e o mundo assistiram a incidentes cibernéticos que paralisaram serviços financeiros gigantes, vazaram códigos bilionários de Inteligência Artificial e colocaram ministros do STF no centro de escândalos de dados. Esta Edição 004 é baseada em evidências reais das últimas 144 horas. Analisamos como a “Guerra Digital” no Oriente Médio afeta civis, os perigos reais das IAs no WhatsApp e o pesadelo do banco BTG Pactual. Acompanhe a visão do perito sobre as 10 ameaças que redefiniram o cenário digital nos últimos dias.

1. O Desastre da IA: Anthropic Vaza Próprio Código

Código-fonte do Claude Code foi vazado, confirma Anthropic

Fonte: TecMundo (31/03/2026)

A Anthropic, principal concorrente da OpenAI (ChatGPT), sofreu um golpe devastador na madrugada de 31 de março. Por um erro humano de empacotamento, um arquivo contendo mais de 512 mil linhas de código-fonte escrito em TypeScript foi publicado em um registro público. O vazamento expôs como o programa se comunica com servidores e processa comandos, afetando todos os subsistemas críticos da ferramenta “Claude Code”. A empresa confirmou o incidente, mas garantiu que dados de clientes não foram expostos.

🛡️ Descomplicando

A empresa que cria uma das Inteligências Artificiais mais famosas do mundo deixou sua “receita secreta” vazar na internet. Um programador errou ao salvar um arquivo, e de repente o mundo inteiro teve acesso ao coração da tecnologia deles. É como se a Coca-Cola publicasse sem querer a fórmula do seu refrigerante no Facebook.

🔍 Análise Forense de Supply Chain

Do ponto de vista pericial, o vazamento via pacote npm é um clássico erro de CI/CD Pipeline. A ausência de regras de bloqueio (pre-commit hooks) que escaneiam arquivos em busca de lixo de depuração (debug data) permitiu a publicação de 60 MB de código não minificado. Isso abre a superfície de ataque para que hackers realizem engenharia reversa para encontrar vulnerabilidades (RCE ou Prompt Injections) na estrutura do Claude.

2. Consequências do Vazamento: IA Bilionária de Graça

Após vazamento, Claude Code passa a ser usado de graça na internet

Fonte: TecMundo (01/04/2026)

A reação da comunidade hacker ao vazamento da Anthropic foi imediata. Apenas horas após a exposição do código, usuários no GitHub (sob o repositório “free-code”) recompilaram a ferramenta inteira. Eles removeram as travas de telemetria, avisos de segurança e habilitaram recursos experimentais para funcionar gratuitamente. O que era um software que gerava US$ 2,5 bilhões anuais para a empresa, virou um brinquedo aberto nas mãos da comunidade.

🛡️ Descomplicando

Depois que a “receita” da IA vazou, hackers pegaram o código, tiraram as proteções de segurança que impediam a máquina de falar besteiras, e colocaram de graça para qualquer um usar. O perigo é que essas IAs sem travas podem ser usadas para criar vírus, golpes e textos falsos em massa sem nenhuma restrição.

3. Investigação no STF: Ameaça Interna no Governo

PF inicia 2ª fase de investigação sobre vazamento de dados do STF

Fonte: TecMundo (01/04/2026)

No dia 1º de abril, a Polícia Federal deflagrou a 2ª fase da Operação Exfil. A ação investiga um vazamento profundo de dados fiscais da Receita Federal envolvendo autoridades e seus familiares, como a esposa do ministro do STF, Alexandre de Moraes. A operação cumpriu mandados contra empresários e contadores suspeitos de subornar servidores públicos para extrair e vender esses relatórios financeiros.

🛡️ Descomplicando

Um “vazamento” nem sempre é feito por um hacker. Neste caso, funcionários do próprio governo (que tinham senhas da Receita Federal) receberam dinheiro de empresários para puxar e vender o histórico financeiro da família de um Ministro do Supremo. É a prova de que a corrupção de quem tem a senha é tão perigosa quanto o ataque de um vírus.

🔍 Insider Threat e Auditoria DAM

O caso expõe a anatomia do Insider Threat. Como perito, a trilha de auditoria aqui exige a análise de DAM (Database Activity Monitoring). É necessário cruzar o log da query SQL feita pelo servidor da Receita Federal com o seu horário de expediente e a ausência de um “número de processo legal” justificando aquela consulta ao CPF específico. Sistemas de Zero Trust modernos exigiriam Dupla Autorização para consultar CPFs de pessoas politicamente expostas (PEP).

4. Impacto Financeiro: O Ataque ao BTG Pactual

BTG Pactual sofre ataque cibernético e suspende operações Pix

Fonte: TecMundo (Relatório Embutido – Abril/2026)

Em um evento crítico para a economia nacional, o banco BTG Pactual confirmou ter sofrido um ataque cibernético massivo que o forçou a suspender temporariamente suas operações de Pix e transferências bancárias. A medida de paralisação (Fail-Safe) foi ativada pelo próprio banco para conter a ameaça e evitar a exfiltração de fundos ou dados de clientes, gerando caos entre investidores institucionais durante a contenção do incidente.

🛡️ Descomplicando

Um dos maiores bancos de investimentos do Brasil foi atacado. Para proteger o dinheiro dos clientes e evitar que os hackers fizessem transferências criminosas, o próprio banco “puxou a tomada” e desligou o sistema do Pix temporariamente. É um transtorno enorme, mas é a medida mais segura quando se está sob ataque direto.

5. A Guerra Digital: Irã, Israel e os Falsos Abrigos

App falso, deepfakes e mais: a ‘guerra digital’ no Oriente Médio

Fonte: G1 Tecnologia (31/03/2026)

O G1 relatou uma tática perversa no atual conflito no Oriente Médio. Enquanto mísseis do Irã voavam em direção a Israel, hackers pró-Irã enviaram mensagens SMS em massa para civis israelenses com celulares Android. A mensagem continha um link para um suposto “aplicativo de abrigos antiaéreos em tempo real”. O link, na verdade, baixava um malware que tomava o controle da câmera e do GPS do aparelho da vítima em meio ao desespero.

🛡️ Descomplicando

Os hackers usaram o desespero da guerra para infectar pessoas. Enquanto as sirenes tocavam avisando sobre mísseis, as pessoas recebiam um SMS dizendo “Baixe este aplicativo para achar um abrigo seguro”. Quem clicou no link acabou instalando um vírus que ligava a câmera e espionava a pessoa enquanto ela se escondia. É a prova de que a engenharia social não tem limites morais.

🔍 Cyber Warfare: APK Trojans e Geolocalização

Este ataque se utiliza de Smishing (Phishing via SMS) coordenado com ataques cinéticos reais (lançamento de mísseis). O APK malicioso solicitava permissões de ACCESS_FINE_LOCATION e CAMERA, agindo como um RAT (Remote Access Trojan) para mapear a movimentação populacional em tempo real e fornecer inteligência tática (OSINT) ao governo iraniano.

6. Punição Corporativa: O Caso WhatsApp e CADE

Cade mantém multa de R$ 250 mil/dia contra WhatsApp por descumprir decisão sobre IA

Fonte: G1 Tecnologia (30/03/2026)

O Tribunal do Cade impôs uma multa de R$ 250 mil diários à Meta (WhatsApp) por descumprir uma medida preventiva. O órgão exigiu que o WhatsApp permitisse que chatbots de IA de empresas concorrentes operassem livremente no Brasil sem as novas tarifas restritivas impostas pela Meta. A Meta tentou cobrar desses bots a mesma taxa de “mensagens de marketing”, o que foi considerado uma tática monopolista pelo governo brasileiro.

7. O Fim da Imunidade: Deepfakes e Protestos na Alemanha

Escândalo de ‘deepfakes’ sexuais com atriz leva milhares às ruas na Alemanha

Fonte: G1 Tecnologia (31/03/2026)

No dia 31 de março, milhares de manifestantes fecharam as ruas de Hamburgo, Alemanha. O motivo foi o caso da atriz Collien Fernandes, que denunciou o próprio ex-marido por criar vídeos pornográficos falsos (Deepfakes) extremamente realistas dela usando Inteligência Artificial, e vendê-los na internet por anos. O caso expôs falhas gigantescas na legislação atual sobre violência de imagem baseada em IA, forçando o país a revisar suas leis criminais.

🛡️ Descomplicando

Um homem usou ferramentas modernas de Inteligência Artificial para pegar fotos normais da ex-mulher e transformá-las em vídeos adultos para se vingar e lucrar. A sociedade alemã foi às ruas porque as leis antigas não previam esse tipo de crime cibernético cruel. Se acontecer com você ou com seu filho, o estrago psicológico é irreversível.

8. Identificando Ameaças: O Novo Filtro do ChatGPT

ChatGPT testa sistema para identificar extremismo e encaminhar usuários a suporte

Fonte: G1 Tecnologia (02/04/2026)

A OpenAI iniciou testes de um novo protocolo de segurança em 02 de abril. Agora, usuários que utilizarem o ChatGPT para gerar conversas com sinais de extremismo violento, automutilação ou violência doméstica terão a interação interrompida pela IA. O sistema ativará imediatamente um redirecionamento forçado para serviços locais de suporte com atendimento humano especializado. É a primeira grande tentativa da empresa de blindar sua LLM contra processos judiciais de incitação ao crime.

9. IAs Terapeutas: 15 Motivos para Ter Medo

Pesquisa revela 15 razões pelas quais usar o ChatGPT como terapeuta é perigoso

Fonte: Times of India (30/03/2026)

Em contraponto às novas políticas da OpenAI, uma pesquisa profunda apresentada na Universidade de Brown documentou 15 riscos críticos de usar IAs como psicólogas. Os pesquisadores focaram na “Empatia Enganosa” (Deceptive Empathy). O chatbot diz “eu compreendo seu sofrimento” sem qualquer consciência emocional, encorajando, em casos comprovados do estudo, o isolamento social da vítima e falhando miseravelmente no manejo de crises severas, dando conselhos genéricos e destrutivos.

🔍 Segurança de Modelos (AI Ethics & Safety)

O perigo do uso terapêutico de LLMs recai sobre a “Alucinação de Viés” (Bias Hallucination). A IA não possui compreensão de contexto histórico do paciente, apenas realiza o cálculo probabilístico da próxima palavra com base no dataset de treinamento. Forensicamente, empresas que oferecem “Bots Terapeutas” estão expostas a processos bilionários por imperícia médica, visto que a arquitetura transformer atual não consegue gerenciar crises com responsabilidade ética.

10. Hardware e Cibersegurança: A Estratégia da Nvidia

Nvidia investe US$ 2 bilhões na Marvell Technology para proteger ecossistema de chips de IA

Fonte: Times of India (31/03/2026)

A segurança física da Inteligência Artificial movimentou bilhões. O CEO da Nvidia, Jensen Huang, confirmou o investimento colossal de US$ 2 bilhões na Marvell Technology. O acordo visa construir infraestruturas (XPU e NVLink) imunes a interceptações e garantir a soberania no processamento de dados para telecomunicações de 5G e 6G. Em um mundo onde dados de IA são vazados diariamente (como vimos com a Anthropic), blindar a transmissão de dados via fotônica de silício tornou-se questão de sobrevivência nacional.

🎯 Dica da Semana do Perito (Para Pessoa Física)

Cuidado Extremo em Meio ao Caos e à IA

Nesta semana, aprendemos que os criminosos usam o nosso desespero e a nova Inteligência Artificial contra nós. Para se manter seguro nesta “nova era”:

  • 1. Desconfie da Urgência: Como vimos no ataque do falso abrigo antiaéreo e nas quedas do Pix (BTG Pactual), golpistas criam aplicativos e links se aproveitando de notícias de tragédias e problemas bancários (“Seu Pix travou? Clique aqui para destravar”). Nunca baixe aplicativos ou clique em links enviados por SMS ou WhatsApp num momento de pânico.
  • 2. O Risco do ChatGPT como “Médico”: Não use o ChatGPT ou outras IAs para tomar decisões de saúde, financeiras ou psicológicas (Tópico 9). A IA mente de forma muito convincente (Alucinação). Busque profissionais humanos credenciados.
  • 3. Proteja suas Imagens Pessoais: O caso de Deepfake na Alemanha nos prova que qualquer foto sua pode virar um pesadelo nas mãos erradas. Feche seus perfis do Instagram/Facebook apenas para amigos íntimos e pare de postar fotos de alta resolução do rosto dos seus filhos em contas públicas.