Uma tradução minha dos principais pontos:

Os dados de localização coletados por aplicativos e marketing digital podem revelar hábitos, interesses e quase qualquer outro aspecto da vida das pessoas. Nesse relatório, nós explicamos como o sistema de vigilância por geolocalização chamado Webloc utiliza dados de anúncios para monitorar centenas de milhões de pessoas ao redor do mundo.

Principais Achados:

O Webloc é um sistema de vigilância por geolocalização global que monitora centenas de milhões de pessoas, com base em dados comprados por aplicativos e marketing digital. Foi desenvolvido pela Cobwebs Technologies e agora foi vendido para sua sucessora, a Penlink.

Em colaboração com a plataforma de jornalismo investigativo europeia VSquare, revelamos que a inteligência doméstica húngara utiliza o Webloc desde pelo menos 2022 e continua a utilizar até hoje. Os consumidores do Webloc incluem também a polícia nacinoal de El Salvador.

Consumidores estadunidenses incluem o ICE, as forças armadas dos EUA, (diversos departamentos de polícia e procuradorias).

Baseado nas respostas de 96 pedidos de informação, concluímos que governos da europa e o Reino Unido são altamente opacos em relação ao uso potencial da vigilância baseada em anúncios.

A Cobwebs Technologies tem relações com a vendedora de spywares Quadream pelo fundador da empresa, Omri Timianker, que agora é chefe de operações internacionais da Penlink (a nova dona).

O Webloc é vendedo como uma extensão para o sistema de inteligência da internet e de redes sociais chamado Tangles. Baseado na análise técnica e em outras fontes, nós mostramos que o Tangles e outros produtos da Cobweb Technologies são utilizados ao redor do mundo.

Nós brevemente investigamos um outro produto da Cobwebs chamado Trapdoor, que parece ajudar a enganar vítimas a revelar informações. Nossa análise nos leva a acreditar que o Trapdoor pode ajudar a dar deploy de malwares em dispositivos.

Proton Mail entrega dados e permite que FBI identifique manifestante anônimo

Apesar de se venderem como voltados para a privacidade, a empresa entregou dados de um usuário para as autoridades.

:xp_security_error: https://www.404media.co/proton-mail-helped-fbi-unmask-anonymous-stop-cop-city-protestor/

Lembrando que durante as últimas eleições estadunidenses, o presidente da Proton beijou o anel de Trump e disse que ele "olha pelos pequenos". Não querem melindrar o regime.

Eles também saíram do fediverso após o episódio. Não são um serviço sério. Se você usa algo deles justamente por conta da privacidade, sugiro não renovar o pagamento.

@privacidade

#notícias #Proton #privacidade

Quem domina #inglês e quer entender #criptografia e #assinaturaEletrônica, eis um mini #curso com ótima didática: https://youtube.com/playlist?list=PLIFyRwBY%5C_4bQvq5PuJASilkHSVGLZtceZ

Uma versão sem aqueles resultados gerados por IA e outros tipos de integração.

DuckDuckGo - Protection. Privacy. Peace of mind

Google Fotos acabou de adicionar IA no seu aplicativo, mesmo que eles não vão usar as fotos para treinar ela por enquanto, queria saber se há alguma alternativa semelhante a ele. De preferência que tenha a opção de backup.

Embora não passe por problemas como o Instagram e o Facebook, a quem deseja fazer uma visita anônima e conferir conteúdos da rede social X (twitter arrematado por mauricinho) Existe o Xcancel Suporta sufixo automático (só digitar o endereço do xcancel / <nome de usuário> )

Visualizador anônimo para mídias do TikTok Entrar, colar o link e acessar o conteúdo sem a necessidade de logar ou ter uma conta.

Recomendação do @teles@lemmy.eco.br

Para quem quer ficar longe dessa tranqueira mas acaba tendo que conferir alguma coisa de vez em quando:

https://imginn.com/

É um visualizador anônimo e suporta o nome de usuário após do endereço principal.

Bitwarden (Vaultwarden) x KeePassXC @privacidade

Que arrependimento ter migrado pro bitwarden...

Toda vez que eu seleciono algumas entradas pra mudar elas de pasta, ele continua lembrando da seleção antiga e move tudo junto. O jeito "mais facil" que achei de lidar com isso é selecionar tudo, desselecionar tudo, aí ir lá de novo procurar as entradas que eu quero selecionar.

Recentemente, decidi me livrar das BigTechs de tecnologia - especialmente a Google, Meta e X. Estou optando por plataformas opensource, onde eu possa ter um foco maior na minha privacidade e controle dos meus dados.

Navegador padrão:

Estou usando o Firefox com o DuckDuck Go como mecanismo de pesquisa + extensões. Porém, ainda mantenho o Google Chrome, pois tenho que pegar todas senhas salvas no Google password, trocá-las e cadastrar no Proton Pass.

Os serviços da Google como Gmail, Drive, Photos, Agenda, etc, eu troquei pelos da Proton. Mantenho apenas um Gmail fantasma que serve para lixo eletrônico, propagandas, spams e como e-mail de recuperação do principal. No e-mail principal, que é o ProtonMail, eu mantenho e-mails importantes.

A Google Play Store eu troquei pelo F-droid, que permite instalar apps que não estão na Play Store e a Aurora Store que permite baixar apps que estão na Play Store sem precisar de uma conta Google.

De mensageiros ainda estou utilizando o WhatsApp, WhatsApp Business, pois a maioria dos meus amigos próximos, familiares e colegas de trabalho utilizam e não tem como fugir disso. Uso o Telegram também.

Porém, estou testando o Signal e ou outros apps semelhantes, ficarei com o que achar melhor.

O X (antigo Twitter), eu substituí pelo BlueSky, o Instagram e Facebook eu deletei, não sinto falta deles, então não vejo necessidade de substituí-los. No lugar do Reddit, estou utilizando o Lemmy.

O YouTube eu acredito que irei manter, mas sem ser logado, não gostei da interface do NewPipe. Porém, acho que usarei ele no Firefox para fugir dos anúncios e utilizar alguma extensão que limpe a minha home principal.

Obrigado pela atenção, se quiserem mandar mais sugestões, eu aceito.

Ótimo video para entender a diferença entre os conceitos de segurança, privacidade e anonimidade. Explicando que nem sempre precisa de todos. Curtinho, recomendadíssimo.

#privacidade #dica #internet @privacidade

@Em0nM4stodon https://infosec.exchange/@Em0nM4stodon/114167546761308562

Recentemente tenho recebido varias ligações feitas por bots comuns (instituições financeiras, operadoras de celular, etc) mas notei uma parada diferente: boa parte dos números usados agora têm o mesmo início (os primeiros quatro dígitos) iguais ao meu número. O que será que isso significa, visto que já pedi no Procon para bloquear anúncios (não sei se ainda existe isso). Seria uma estratégia dessas porcarias para conseguir me alcançar mesmo assim?

Vocês passam por isso? Mesmo sem dever pra ninguém (rsrs)?

Visto um ultimo commit (submissão de mudanças no site) que removeu uma "promessa" da fundação responsável pelo navegador de não vender os dados do clientes/usuários...

O que vocês fariam?mudariam de navegador, escolheriam um com uma proposta de privacidade maior?

Lembrando que assim como toda promessa no mundo real isso não passa de palavras que não detalham realmente como o aplicativo usa seus dados.

das notícias cômicas:

https://executivedigest.sapo.pt/noticias/o-meu-filho-vendeu-os-dados-da-sua-iris-por-100-euros-em-criptomoedas-jovens-estao-a-ceder-dados-biometricos-em-centros-comerciais/

https://visao.pt/atualidade/sociedade/2024-03-04-cada-vez-mais-pessoas-estao-a-vender-fotos-da-sua-iris-em-troca-de-criptomoedas-mas-a-que-custo/

https://br.ign.com/tech/120044/news/jovens-escaneiam-sua-retina-para-ganhar-r-500-da-openai-mas-sem-permissao-dos-pais

cross-posted from: https://lemmy.eco.br/post/8311201

Agora você pode se comunicar com total privacidade e segurança, longe da vigilância das Big Techs.

Nossa rede é aberta, segura e descentralizada, permitindo que você se conecte sem comprometer seus dados.

Registre sua conta hoje mesmo em https://xmpp.eco.br/ e seja parte dessa revolução digital! 🛡️ 🔐

cross-posted from: https://lemmy.world/post/20156236

Usei várias grátis mas todas são bloqueadas, discord pede captcha mil vezes e não executa a ação e o Instagram só não funciona no geral. Qual VPN consigo burlar isso?

Vazaram documentos internos da CMG (Cox Media Group) os quais revelam que a empresa possui mais de 470 “fontes” distintas de gravações de usuários as quais são transcritas usando IA e vendidas a anunciantes como Google, Amazon e Facebook.

Sempre achei que isso fosse uma paranoia completa (pela impraticabilidade até o surgimento de IAs capazes de transcrever toda essa informação) mas aparentemente agora é extremamente possível. Em que universo isso é plausível?

3TOFU: Verifying Unsigned Releases

By Michael Altfield
License: CC BY-SA 4.0
https://tech.michaelaltfield.net/

This article introduces the concept of "3TOFU" -- a harm-reduction process when downloading software that cannot be verified cryptographically.

Verifying Unsigned Releases with 3TOFU

⚠ NOTE: This article is about harm reduction.

It is dangerous to download and run binaries (or code) whose authenticity you cannot verify (using a cryptographic signature from a key stored offline). However, sometimes we cannot avoid it. If you're going to proceed with running untrusted code, then following the steps outlined in this guide may reduce your risk.

TOFU

TOFU stands for Trust On First Use. It's a (often abused) concept of downloading a person or org's signing key and just blindly trusting it (instead of verifying it).

3TOFU

3TOFU is a process where a user downloads something three times at three different locations. If-and-only-if all three downloads are identical, then you trust it.

Why 3TOFU?

During the Crypto Wars of the 1990s, it was illegal to export cryptography from the United States. In 1996, after intense public pressure and legal challenges, the government officially permitted export with the 56-bit DES cipher -- which was a known-vulnerable cipher.

The EFF's Deep Crack proved DES to be insecure and pushed a switch to 3DES.

But there was a simple way to use insecure DES to make secure messages: just use it three times.

3DES (aka "Triple DES") is the process encrypting a message using the insecure symmetric block cipher (DES) three times on each block, to produce an actually secure message (from known attacks at the time).

3TOFU (aka "Triple TOFU") is the process of downloading a payload using the insecure method (TOFU) three times, to obtain the payload that's magnitudes less likely to be maliciously altered.

3TOFU Process

To best mitigate targeted attacks, 3TOFU should be done:

1. On three distinct days
2. On three distinct machines (or VMs)
3. Exiting from three distinct countries
4. Exiting using three distinct networks

For example, I'll usually execute

• TOFU #1/3 in TAILS (via Tor)
• TOFU #2/3 in a Debian VM (via VPN)
• TOFU #3/3 on my daily laptop (via ISP)

The possibility of an attacker maliciously modifying something you download over your ISP's network are quite high, depending on which country you live-in.

The possibility of an attacker maliciously modifying something you download onto a VM with a freshly installed OS over an encrypted VPN connection (routed internationally and exiting from another country) is much less likely, but still possible -- especially for a well-funded adversary.

The possibility of an attacker maliciously modifying something you download onto a VM running a hardened OS (like Whonix or TAILS) using a hardened browser (like Tor Browser) over an anonymizing network (like Tor) is quite unlikely.

The possibility for someone to execute a network attack on all three downloads is very near-zero -- especially if the downloads were spread-out over days or weeks.

3TOFU bash Script

I provide the following bash script as an example snippet that I run for each of the 3TOFUs.

REMOTE_FILES="https://tails.net/tails-signing.key"

CURL="/usr/bin/curl"
WGET="/usr/bin/wget --retry-on-host-error --retry-connrefused"
PYTHON="/usr/bin/python3"

# in tails, we must torify
if [[ "`whoami`" == "amnesia" ]] ; then
	CURL="/usr/bin/torify ${CURL}"
	WGET="/usr/bin/torify ${WGET}"
	PYTHON="/usr/bin/torify ${PYTHON}"
fi

tmpDir=`mktemp -d`
pushd "${tmpDir}"

# first get some info about our internet connection
${CURL} -s https://ifconfig.co/country | head -n1
${CURL} -s https://check.torproject.org/ | grep Congratulations | head -n1

# and today's date
date -u +"%Y-%m-%d"

# get the file
for file in ${REMOTE_FILES}; do
	wget ${file}
done

# checksum
date -u +"%Y-%m-%d"
sha256sum *

# gpg fingerprint
gpg --with-fingerprint  --with-subkey-fingerprint --keyid-format 0xlong *

Here's one example execution of the above script (on a debian DispVM, executed with a VPN).

/tmp/tmp.xT9HCeTY0y ~
Canada
2024-05-04
--2024-05-04 14:58:54--  https://tails.net/tails-signing.key
Resolving tails.net (tails.net)... 204.13.164.63
Connecting to tails.net (tails.net)|204.13.164.63|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1387192 (1.3M) [application/octet-stream]
Saving to: ‘tails-signing.key’

tails-signing.key   100%[===================>]   1.32M  1.26MB/s    in 1.1s    

2024-05-04 14:58:56 (1.26 MB/s) - ‘tails-signing.key’ saved [1387192/1387192]

2024-05-04
8c641252767dc8815d3453e540142ea143498f8fbd76850066dc134445b3e532  tails-signing.key
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0xDBB802B258ACD84F 2015-01-18 [C] [expires: 2025-01-25]
      Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
uid                             Tails developers (offline long-term identity key) <tails@boum.org>
uid                             Tails developers <tails@boum.org>
sub   rsa4096/0x3C83DCB52F699C56 2015-01-18 [S] [expired: 2018-01-11]
sub   rsa4096/0x98FEC6BC752A3DB6 2015-01-18 [S] [expired: 2018-01-11]
sub   rsa4096/0xAA9E014656987A65 2015-01-18 [S] [revoked: 2015-10-29]
sub   rsa4096/0xAF292B44A0EDAA41 2016-08-30 [S] [expired: 2018-01-11]
sub   rsa4096/0xD21DAD38AF281C0B 2017-08-28 [S] [expires: 2025-01-25]
sub   rsa4096/0x3020A7A9C2B72733 2017-08-28 [S] [revoked: 2020-05-29]
sub   ed25519/0x90B2B4BD7AED235F 2017-08-28 [S] [expires: 2025-01-25]
sub   rsa4096/0xA8B0F4E45B1B50E2 2018-08-30 [S] [revoked: 2021-10-14]
sub   rsa4096/0x7BFBD2B902EE13D0 2021-10-14 [S] [expires: 2025-01-25]
sub   rsa4096/0xE5DBA2E186D5BAFC 2023-10-03 [S] [expires: 2025-01-25]

The TOFU output above shows that the release signing key from the TAILS project is a 4096-bit RSA key with a full fingerprint of "A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F". The key file itself has a sha256 hash of "8c641252767dc8815d3453e540142ea143498f8fbd76850066dc134445b3e532".

When doing a 3TOFU, save the output of each execution. After collecting output from all 3 executions (intentionally spread-out over 3 days or more), diff the output.

If the output of all three TOFUs match, then the confidence of the file's authenticity is very high.

Why do 3TOFU?

Unfortunately, many developers think that hosting their releases on a server with https is sufficient to protect their users from obtaining a maliciously-modified release. But https won't protect you if:

1. Your DNS or publishing infrastructure is compromised (it happens), or
2. An attacker has just one (subordinate) CA in the user's PKI root store (it happens)

Generally speaking, publishing infrastructure compromises are detected and resolved within days and MITM attacks using compromised CAs are targeted attacks (to avoid detection). Therefore, a 3TOFU verification should thwart these types of attacks.

⚠ Note on hashes: Unfortunately, many well-meaning developers erroneously think that cryptographic hashes provide authenticity, but cryptographic hashes do not provide authenticity -- they provide integrity.

Integrity checks are useful to detect corrupted data on-download; it does not protect you from maliciously altered data unless those hashes are cryptographically signed with a key whose private key isn't stored on the publishing infrastructure.

Improvements

There are some things you can do to further improve the confidence of the authenticity of a file you download from the internet.

Distinct Domains

If possible, download your payload from as many distinct domains as possible.

An adversary may successfully compromise the publishing infrastructure of a software project, but it's far less likely for them to compromise the project website (eg 'tails.net') and their forge (eg 'github.com') and their mastodon instance (eg 'mastodon.social').

Use TAILS

TAILS is by far the best OS to use for security-critical situations.

If you are a high-risk target (investigative journalist, activist, or political dissident) then you should definitely use TAILS for one of your TOFUs.

Signature Verification

It's always better to verify the authenticity of a file using cryptographic signatures than with 3TOFU.

Unfortunately, some companies like Microsoft don't sign their releases, so the only option to verify the authenticity of something like a Windows .iso is with 3TOFU.

Still, whenever you encounter some software that is not signed using an offline key, please do us all a favor and create a bug report asking the developer to sign their releases with PGP (or minisign or signify or something).

4TOFU

3TOFU is easy because Tor is free and most people have access to a VPN (corporate or commercial or an ssh socks proxy).

But, if you'd like, you could also add i2p or some other proxy network into the mix (and do 4TOFU).

O Evolve Bank & Trust sofreu um ataque em fevereiro de 2024.

Dados comprometidos: Dados de pelo menos 7,6 milhões de clientes foram acessados.

Avenue e Nomad demoraram pra falar qualquer coisa! https://portaldobitcoin.uol.com.br/alem-da-nomad-wise-e-avenue-admitem-relacao-com-banco-que-teve-dados-de-clientes-vazados/

Tipos de dados: Nomes, números de seguridade social, números de contas bancárias e informações de contato foram expostos.

Parceiros afetados: Affirm, Mercury e Wise confirmaram que alguns de seus dados e informações de clientes foram comprometidos. No Brasil, Avenue e Nomad.

Responsável pelo ataque: O grupo de ransomware LockBit, vinculado à Rússia, realizou o ataque.

Resposta do Evolve: A invasão foi detectada em maio, e o banco se recusou a pagar o resgate.

Publicação de dados: Os dados foram publicados na dark web pelo grupo LockBit.

boa noite gente estou dúvida se uso o mumble ou jitsi para conversar com meus amigos qual seria melhor? eu vi que pra auto hospedar mumble talvez seria um pouco caro oq voces acham?