Banco Neon e o maior vazamento de dados do Brasil | PPT Não Compila Podcast

0:00hoje em dia eh o cybercrime ele tá ele tá extremamente atuante né Nessas questões de de dados né abertura de de contas em qualquer tipo de CPF CNPJ eles acham instituições que TM uma vulnerabilidade e acabam abrindo aquela conta né Essas extorsões que tem com relação a a dados tem muita coisa que é é BF tem um risco né a gente tem aí as ias aí fazendo uma série de coisas apando voz imagem Então tá cada vez mais difícil de você identificar um golpe de um não Gol o papel do do executivo né que cuida da segurança da empresa cuida da parte tecnológica é mostrar a eficiência que tem o time de segurança as ferramentas de segurança da da empresa muito bem muito bem meus amigos do PPT não compil estamos aqui para mais um episódio e hoje eu tô aqui com a minha amiga t scarpioni Olá boa noite obrigada pelo convite segunda vez no PPT não compila e voltou agora como co-host um prazer Obrigada uma honra esse tema tão importante né É E hoje a gente vai falar né Tati de um assunto Mega relevante tá tá mega em em alta no no nosso mercado de tecnologia que foi o caso do vazamento de dados do banco neon né então vamos conversar aqui das implicações o que que pode ter acontecido etc para falar disso a gente trouxe o hacker o hacker do bem hacker do bem hacker do bem não é não é o Pegasus prazer aí tá tá com vocês aqui prazer Tati prazer o tá mais uma vez aqui no PPT não compila e vai ser muito enriquecedor aqui a gente bater um papo e conversar um pouco mais sobre esse tema aí que tá tá no Hype aí show Obrigado Zé por por vir aqui compartilhar mais com a gente uma visão da área de segurança de fato Como pode ter acontecido isso as consequências etc vamos elocubrar muitas coisas aqui né mas é sempre bom a gente tirar desses episódios lições aprendidas pra nossa própria carreira profissional pras nossas empresas onde nós trabalhamos etc sempre tem o que o que tirar né É isso aí faz parte né a gente sempre tá aprendendo isso aí então vamos lá que o episódio tá muito bom mas antes antes da gente começar a falar já clica aí no like Se você não se não tá inscrito ainda no Spotify no YouTube já se inscreve agora já Compartilha esse episódio aí no Slack da empresa no teams etc porque esse assunto ele tá muito crítico muita gente vai ter interesse de ouvir sobre esse caso então ajuda a crescer a nossa comunidade já dá o seu like deixa o seu comentário aqui a qualquer momento a gente manda mensagem pro Zé então ajuda a gente a fortalecer esse ano ainda mais o PPT no Cila junto com a sua ajuda e e toda a comunidade do do PPT se você acha que pode ajudar ainda mais você pode ser membro do nosso canal vai lá do lado do inscrever se você já vai estar inscrito tá lá seja membro você vai contribuir com o valor aqui pro PT pila pra gente manter essa estrutura pagar a cerveja do Zé né Aí ó quando a gente tá geladinha Tá geladinha né tá boa hoje né então se você puder contribuir melhor se você não puder você já contribui demais ajudando a comunidade do PPT a crescer né Vamos lá que o episódio tá muito bom vamos bora bora [Música] [Música] PPT contextualizando primeiro o nosso ouvinte que talvez não tenha tantos detalhes sobre o acontecido né na semana passada algumas semanas atrás dependendo do horário meu querido ouvinte que você estiver ouvindo né ali no meados de de fevereiro o banco neon divulgou uma nota em que ele confirmava que houve vazamento de dados pessoais de aproximadamente 30 milhões de clientes né alguns dias depois dessa nota do do banco neon eh o TecMundo divulgou uma entrevista com o suposto hacker Pegasus que contou o lado dele digamos da história né que ele havia tentado contato negociado os caras negociaram não pagaram por isso que ele jogou no ventilador meu amigo bano pegou rodou e jogou no ventilador né Eh [Música] muitos já dizem que é o maior vazamento de dados corporativo da história né 30 milhões de de de dados é realmente é muito substancial né Ele tentou pedir um valor acho que era 10 bitcoins né isso C cinco bitcoins cinco cinco então mais barato ainda dá aí o quê R milhões e e meio de reais aproximadamente né Eh E é isso que nós vamos comentar hoje aqui eh [Música] que que você tira desse desse acontecimento meu amigo hacker Olha é é algo que realmente surpreende muita gente né muita gente mas é algo que é comum os nossos dados eles estão na mão de de criminosos de uma série de pessoas mal intencionadas né então uma hora ou outra a gente pode ser alvo de um vasamento de de dados né seja os nossos dados pessoais seja dados corporativos então a gente tá a Mercer aí de do dos ataques e vazamento de dados aí Elan a quantidade de dados né os dados que foram vazados nome e-mail renda nome da mãe Eh o que que você acha desses dados são sensíveis a pessoa tem que ficar preocupada que vazou a foto do Doc será com certeza ela tem que ficar muito preocupada né porque eh os dados eles são utilizados para para várias coisas né então você tendo a informação da pessoa você tem o telefone dela você tem uma série de de de dados que concatenados ali Ela traz uma um valor muito grande um contexto muito grande então um um atacante né uma pessoa mal intencionada ela pode ligar ela pode chamar no WhatsApp e falar olha Eh eu tenho um empréstimo seu aqui eu tenho uma coisa aqui X para mim quitar sua dívida eu tenho ou mando um um malare para ela também para capturar essa conta dela talvez não tenha ali nos dados vazados a senha ou a pessoa não consiga habilitar aquele o dispositivo dela mas com contato junto com a pessoa ali o a pessoa mal intencionada ela pode de fazer com que eh a pessoa tome algumas ações achando que é o banco ali né então isso é um é um grande problema aí que se tem Por conta desses dados vasados sim e aí tem tem duas duas grandes possibilidades aí né primeiro É que geralmente esses dados mais sensíveis são utilizados para validação de identidade né então é normal você ligar por exemplo no cal centro do banco ele vai te pedir para confirmar endereço CPF etc para saber se você é você mesmo né então tem uma possibilidade grande de um atacante se passar pelo cliente e aí conseguir fazer um empréstimo uma coisa do tipo no nome dele né isso e o inverso também porque eh ele pode tentar se passar por uma outra entidade e fazer com que a vítima do golpe pense que não é um golpe Porque pô mas esse cara tem todos os meus dados né exato Então ele pode ser uma vítima e potencial de um possível golpe por causa dessas informações né É até e até porque ele se ele passa ele liga para pra pessoa manda o maare ali compromete o dispositivo móvel dela ali você tem aplicativos que não só são do do banco neon são suas redes sociais são os outros bancos que você tem também então é a sua vida que tá naquele dispositivo e tá a merc então assim eh aqueles dados ele pode ser o pontapé inicial para um comprometimento maior não só você usado ali pro banco em específico que foi eh Alvo do vazamento de dados mas outras instituições outras outras questões pessoais da empresa né sua senha gov por exemplo imagina a abertura de conta né que tem o documento tem foto tem todos os dados posso abrir conta em outros bancos perfeito Tem tem muitas informações ali né hoje em dia eh o cybercrime ele tá ele tá extremamente atuante né com Nessas questões de de dados né abertura de de contas em qualquer tipo de CPF CNPJ eles acham instituições que TM uma vulnerabilidade e acabam abrindo aquela conta né porque você for pensar assim você fazer uma transferência para um terceiro você tem um limite mais transferência paraa mesma titularidade você tem um limite muito maior então se eu abro um um um CPF com assim um outro uma outra conta com o mesmo CPF Eu tenho um limite maior para tirar aquele aquele dinheiro daquela pessoa né então Eh pegando esse gancho do que a Tati falou sobre o os dados que são sensíveis E aí eu não sei se se é fato ou não mas eu vi alguma coisa no Twitter que é Twitter não é x né Eh sobre a a ter vazado Inclusive a foto do dos clientes segurando o próprio documento que alguns bancos Alguns alguns lugares pedem para validação de identidade né né Pega a foto do rosto e a pessoa fazendo uma validação de identidade segurando o próprio documento e parece que esse dado vazou também então da mesma forma que esse cliente que é o o dono legítimo do documento usou essa foto para abrir uma conta no neon Eh o cara que teve acesso a essas informações essa foto pode usar para abrir uma outra uma outra conta em um outro em um outro banco né perfeito e aí que eu queria te perguntar existe ou não existe ou existe não foi usada uma boa prática para para ter a custódia desse tipo de informações porque por exemplo eu deveria ter uma forma de ou destruir essa foto ou carimbar digitalmente ela para que ela não não seja reutilizada alguma coisa do tipo porque cara aí você desarma uma você tá dando um antídoto para tua própria política de segurança porque se eu não quer aquela foto é de agora como é que eu posso aceitar ela né E se eu usei ela garantindo que é que de agora ten que fazer alguma coisa para que ela não seja reaproveitada no futuro então eu vejo como um problema de de de de arquitetura da própria aplicação ali da própria do próprio processo e de segurança reter uma foto como essa Existe algum guia de boas práticas algum protocolo de boas práticas para que essa essa informação não seja retida sabe Peguei até esse gancho lembrando de refresh token perfeito esse tem esse token tem um tempo Será que a foto quando eu tenho essa prova de vida e tira uma foto do meu lado assim com meu documento por exemplo tenho uma boa prática tenho que apagar igual o first token fica 30 minutos 20 minutos 10 minutos não sei qual é a política mas fica um tempo né é eu não eu não sei na verdade qual foi o motivo para eles terem a custódia dessas imagens por tanto tempo né Não sei se precisava de alguma validação ou não mas eu acredito que por ser um banco digital a pessoa fez a prova de vida dela foi aprovada acabou não tem que mais manter a custódia né dessas informações ali então eu acho que foi um erro de de vários né de de vários pontos ali do do do banco em si né então acaba que trouxe esse esse problema de você manter ali essas informações por muito tempo ainda mais dados né da da facial de de de documentos a pessoa segurando ali e tal acho que não precisaria ter esse tempo todo ali de de é isso de armazenamento ali deção e foram vários erros né porque se vazou uma credencial essa credencial tinha acesso extremamente privilegiado então assim foram uma sucessão de de erros aí E lembrando que a gente tá cogitando aqui com base nas informações que a gente tem visto nas notícias nas redes sociais etc então se você conhece alguém do no banco neon se você trabalha no banco neon e de repente a empresa quer fazer um pronunciamento pode mandar aqui pra gente no no podcast @pt nooc compila ou até Se alguém quiser vir aqui para falar sobre o lado do banco também eh explicar algum contexto de tudo isso o canal aqui no PPT no compila tá sempre aberto para para quem quiser trazer mais informações pros nossos ouvintes então se você trabalha no no neon faça essa informação circular aí que a gente vai pode ler uma nota pode trazer alguém aqui com todo prazer tá perfeito e e cara eh eu fiquei curioso e e entender eh é que aí é é sempre cogitar né mas é o que você falou é é uma credencial extremamente poderosa pro cara conseguir fazer baixar esses dados de uma forma anônima porque ass eu fico imaginando Zé se eu tivesse um acesso legítimo para conseguir fazer um dump de 30 milhões de clientes cara mesmo fosse um acesso legítimo ia demorar um uma quantidade de tempo razoável para achar esses dados e e e até o próprio monitoramento legítimo que você tem de infraestrutura de consumo de banda etc cara em algum momento isso tinha que ser alertado né perfeito é falharam em alguma parte ali né porque você baixar você você ter acesso a 30 milhões de de registros ali é é é bastante coisa né então tem que sair um pouco fora da normalidade ali né tem que ter uma um fugir um pouco do padrão pô aquele login ali tá fazendo uma uma série de request ali ele tá pegando alguma coisa ele tá fazendo crow ele tá buscando alguma informação ali né então Eh Sim eu acredito que era para para ser identificado eu fiquei pensando assim como arquiteta é na característica do dado né é como se fosse uma tabela de usuário com todos os seus dados suas informações mas aí no caso de imagem eu pensando né Eu Deixaria num Bucket Eu Deixaria num um lugar de gestão de conteúdo talvez com a foto então você vê que pensando em infraestrutura são dados e imagens então assim imagina banco de dados mais um repositório de imagem tô aqui pensando né s mas como como que são vários locais na infraestrutura e esse acesso foi ao mesmo tempo como a gente comentou né dá para ver algum movimentação da rede quando a gente fala assim da parte de infraestrutura né a gente tem várias camadas né a gente fala do modelo o de de segurança e eu pensando aqui em arquitetura Onde tá meu Bucket Aonde tá meu banco de dados olha as camadas que passaram né uma ap talvez o que o que foi assim e quando a gente fala de dessas camadas assim qual que é a sua opinião assim não sei se você sabe explorar eh qual será que foi o erro Quais são as camadas mais importantes O que que a empresa ela deveria se preocupar com esse caso que a gente tá comentando aqui é eu acredito que tem algumas maneiras mais fáceis de você identificar ali né Tem eh algumas comunicações ali que elas se tornam muito mais difíceis de você identificar um um algo malicioso né então hoje em dia a maioria da da das nossas comunicações estão em apis e apis é a gente consegue monitorar padrões que fogem da da normalidade né então apenas no tráfego ali que que é sendo feito pô várias chamadas num Bucket específico várias chamadas eh e uma API específica de um mesmo usuário então existem uma série de regras que é possível você para você identificar Em vários pontos né então você tem o af você tem um um você tem rate limit Você tem uma porrada de coisas você as empresas TM uma série de tecnologias que podem ajudar a identificar eh um um ataque ou um vazamento de dados né então é algo que assim eu acredito que eh tem e tinham condições vamos dizer assim de de identificar né algum algum algum algum ponto ali deve ter falhado né sim eu não quero transformar você no Lito que Coitado do Lito sempre que cai avião a galera fica na Live caiu por qu elito o que que aconteceu com o avião que o avião caiu Cara não sei eu não tava lá vendo difícil então você tá sendo meio que o Lito do do caso Leon né mas e a gente fiquei cogitando aqui né uma coisa que a Tati falou que é que é interessante é se você pensa na natureza da informação né ela falou pô eu posso ter esse repositório numa num num em em em Ambientes diferentes que podem ter credenciais diferentes e aí você começa a citar mas pô se o cara tinha acesso a um Bucket onde tinha as imagens e tinha acesso ao banco de dados cara mesmaa credencial do acesso aos dois fazendo consulta no banco fazendo consulta é ex vários lugares né então ex exato E aí a gente começa a pensar nas possibilidades n ou será se ele conseguiu trazer esses dados via um api por exemplo aí a gente tem que considerar que todas essas boas práticas que você citou de waf de R limit etc não estavam habilitadas pro cara poder fazer 30 milhões de chamadas numa mesma pi com a mesma credencial fazendo escaneamento horizontal para obter esses dados eh ou Cara eu vi até no no na internet não sei se foi no Twitter ou foi no próprio TecMundo parece que ele pegou a senha de um dba uhum né E aí pô mas aí aí então as imagens estavam com binário no em campo em campo binário dentro do próprio banco ele conseguiu pegar assim eh sabe são tantos obstáculos para ele conseguir ter o conjunto completo de informações uma coisa ter o o Bucket né aí sei lá tem o RR do Bucket num campo e o Bucket tá aberto aí você come né você começa a cogitar uma coisa autenticação talvez ten um usuário sei uma base de clientes atrás de um identity provider no meu onboard no meu login pensando é ou ele conseguiu acesso eh não foi um dba mas ele conseguiu a uma aplicação funcional e ele fez um web scrapping ali para pegar todos os dados eh de todas as formas não é como você entrar e pegar um ir lá e porque você imagina ainda hoje quando você tem um vazamento desse Pelo menos eu imagino pô o cara conseguiu um uma uma credencial eh com uma autoridade alta com privilégio alto o cara caiu dentro do ambiente logou no Oracle foi lá no plsql gerou um ponto esql baixou na máquina dele é o que você imagina o mais óbvio né mas aí ele não consegue esse conjunto de dados tão completo Assim menos que temha as imagens ali em em campo binário etc então tem a gente começa a a cogitar que foram uma sucessões sucessões de falhas não é só tipo a vazou C dba e o cara pegou um dum né Eh ele tem que ter tido outros outras quebrou-se outras Barreiras para conseguir essa informação toda né É E eu e eu fico pensando assim também né porque eh ele ele ele mostrou ele pegou uma amostra ali dos dados e trouxe pra galera ali Será que realmente ele fez esse dump de todos esses dados também porque ele não ele não ele não mostrou ele não pegou falou assim ó tem aqui esse arquivo aqui tal tá aqui a evidência é essa porque assim se a gente pensar em tecnologia num banco na segurança que você tem um banco é aquilo que a gente tava conversando aqui em algum lugar vai ser identificado que tá saindo alguma alguma coisa fora do padrão então fico pensando nisso também porque eh esses essas extorsões que tem com relação a a dados tem muita coisa que é é bleff então assim o cara vai para uma para uma tá ele pode ter o os dados ali mesmo ele tem um login com autoridade alta ele consegue fazer várias consultas Mas será que ele fez o damp realmente ele foi lá criou um script pô ficou batendo lá e trazendo um monte de usuário ele pode ter ele pode teré fazer mas ele teria que tomar todos os cuidados né pô el deveria ser um pouco mais telf ele teria que cada requisição um tempo diferente um tempo maior de de de requisição paraa outra para não não parecer algo automatizado parecer um fluxo natural um fluxo natural Então você tem uma série de coisas ali que assim a gente não pode afirmar nada porque a gente tá com bases n nas notícias que a gente tem Eu Fiquei imaginando até num dia de pagamento talvez no dia 5 ou no dia 15 com maior acesso exato É igual eu e eu fico pensando também a gente tem as empresas terceiras de bpo que fazem atendimento para bancos também por exemplo eh imagina quanto um atendente de de bpo faz por dia de clientes perguntando do que aconteceu com a conta com o saldo com não sei o que lá e ele tá batendo no no banco ele tá lá fazendo uma série de requisições e é muito né eles atendem muito é o dia inteiro atendendo e tal então assim cada cada escopo né Cada cada login cada ambiente é uma particularidade própria ali né então assim às vezes pô se você tem uma API que ela não tem tanta requisição é uma API que não é tá ali para fazer uma coisa outra e tal é mais de boa imagina uma ap que tá toda hora ali cheio de requisições ali fazendo e tal então É é diferente né então é tem uma característica diferente né É mas esse ponto você falou de poder ser um um blef é bem é bem factível né sim e mas tem um outro lado que o banco reconheceu o vazamento exato e será que eles reconheceriam se se não tivesse como comprovar que foi vazado olha talvez eles reconheceram porque realmente o cara teve acesso S esses 30 milhões Mas eles talvez não não saiam o impacto ou se o cara o cara talvez tivesse acesso mas não se sabe se ele copiou isso de fato isso talvez sim talvez sim então é uma em alguns lugares já dizem que tem o link né para você consultar consultes mas não tá mais no ar e consulte seu dado foi vazado é aparentemente ele deve ter pegado algum assim Acho que ele pegou um um acesso a um uma API de sms alguma coisa do tipo com alguns números de telefone ele sabendo que aquelas pessoas eram clientes Ele criou uma base ali simples para você consultar em cima desses telefones E aí a pessoa correlaciona né botava o número do CPF dela veja que se vazou e ele viou para aquele número de telefone tava concatenado ali e aí o cliente pegava batia lá [ __ ] ó meu CPF aqui cara bateu que vazou o negócio e você para pensar no inverso é uma ótima chance de você saber quem é cliente do Banco neon isso se eu não quero saber se você consulta aqui você põe teu CPF eu já tenho informação de que você realmente é um cliente você consultou saber se dado vazou ou não exato nesse momento o seu CPF acabou de ser vazado por você mesmo Exatamente é igual aquelas apis né que você coloca lá recuperar minha senha aí retorno para você esse usuário não existe aí você tá informando que que não existe aquele usuário e logo ele não tem registro cadastro e Acontece muito isso com CPF com uma série de coisa e eu já trabalhei em instituições que eu achei vulnerabilidades dessa dessa forma né que informaçõ que falava que você não podia usar aquela senha porque aquela senha pertencia a outro usuário Tipo isso então assim é absurdo porque aí você coloca numa uma Word list ali para você fazer um ataque aqui de de de password spray de eh brute Force acaba que cara alguma Ali vai bater né é Opa essa senha é de alguém agora só para saber de quem igual a gente sabe né nas empresas Às vezes tem aquelas senhas padrões né que a gente sabe mudar a123 aquelas coisas que você coloca lá e ou n mudar a roupa 2025 né a gente sabe que tem aqueles às vezes padrões que que a galera cria né então Os caras sabem disso aí né e e deixam lá aquilo ali para pessoal testar já com uma base de conhecimento pro brute Force n o brute force já não já não parte do zero né exato não ele tem alguma informação né Ele é igual você tá direcionando seu ataque PR PR para empresas brasileiras você vai colocar uma série de palavras ali que são brasileiras pô eu tô direcionando o meu ataque e PR pr pra América Latina eu usar palavras em espanhol ali que são comumente usadas em em em wordlists em em registros e isso aí é muito fácil você ter acesso né você tem essas informações né Zé uma uma pergunta eh uma vez que houve essa negociação lá com o banco segundo a entrevista do Pegasus ele ele disse que negociou lá os cinco bitcoins etc eles não pagaram por isso que ele tava jogando no ventilador uhum para onde vai esse dado agora qual o fim dele você que é um cara que tá sempre ali no underground olha geralmente esses dados eles são negociados né E são negociados geralmente com quadrilhas né Essas quadrilhas que elas eh utilizam dessas informações para lesar as pessoas que os dados vazaram e os dados vazar de de de banco por um para uma quadrilha para pessoas que TM eh interesse em ganhar dinheiro como esses dados tinham renda tinham uma série de coisas o cara pode tinha até saldo né tinha saldo Então você consegue montar uma lista ali de quem tem mais saldo por exemplo e você fala assim pô essas pessoas aqui são interessantes pacote Extra Premium que você vendia exatamente assim pô esses aqui tem cartão Black esses aqui tem saldo acima de 1 Milhão então assim você tem como fazer uma separação dessa lista e é muito atrativo para essas quadrilhas né porque eles têm toda uma estrutura para fazer para para para esses golpes né então Os caras você v como dado a informação que eles têm eh vale ouro né vale Vale muito vale Vale muito dinheiro muito dinheiro porque de de de 10 clientes um que cai que que que que dá para fazer dá para fazer muita coisa então e e aquilo que a gente falou né o comprometimento às vezes não é só do do do do banco que foi alvo ali do do vazamento mas da dos outros bancos que ele também tem tem acesso dos seus dados de como como cidadão brasileiro as suas redes sociais a sua vida toda tá no telefone ali por exemplo então afeto o ecossistema como um todo né como um todo porque é muita informação então eu posso criar uma ura do do do banco específico e pedir algumas confirmações já tem se dado isso tudo automatizado e vai ali pô Confirma os dois últimos digitos eh o nome da sua mãe aí tem lá já tudo certinho né para você escolher entre quatro ali já tá o nome da sua mãe então assim dá credibilidade pro golpe você t nessas informações previamente você consegue fazer um um golpe muito bem elaborado eu fico pensando no no público de idosos né tem uma mãe de 80 anos que sempre ela avisa pra gente quando tem algum alguma mensagem no WhatsApp mas a gente vê diariamente nos jornais quanto um idoso muitas vezes é enganado eu vi recentemente um golpe que uma pessoa na casa da desse idoso fala ó Você vai ganhar uma cesta básica mas você precisa me falar seus dados e tirar uma foto algum tempo depois abriram uma conta no nome dessa senhora então imagino o público né tã tinha data de nascimento provavelmente não lembro toda a lista eh os tipos de de golpes e quanto eh e aí eu eu trabalhando em banco me lembro do quanto as fraudes a questão de segurança no Brasil é extremamente criativo é diferente de você já viu alguém explodir um caixo Eletrônico em algum outro país Então até para quem trabalha com arquitetura a gente tinha que pensar exatamente do que ia acontecer porque a característica é diferente né totalmente brasileiro é muito criativo muito criativo e e é engraçado né Tem falando dessa questão do dos do dos golpes da da da foto né recentemente é aquela tem tem um golpe que é da das Flores né você recebeu as flores mas eu preciso confirmar que você recebeu ele tá com com a tela do a biometria aberta para fazer empréstimo e você tá achando que tá tirando a foto você tá fazendo o empréstimo novo medio desbloqueado você tá não Aqui as flores para você só preciso tirar uma foto para validar que que você recebeu aqui e tal e ele tá fazendo o escaneamento né a gente não pode as mulheres não podem mais receber flores tá complicado per cara que E aí quando vai ver já tem um empréstimo já abriu já aprovou empréstimo de X ali já consegue fazer transferência então é é assim se se não dá por meio da tecnologia os caras vão pra rua com aquele dado com aquela informação sabe quanto que você tem de margem de empréstimo sabe tudo cara o pilantra brasileiro ele é diferenciado mesmo não é ele é ele é outro nível caraca é fora do comum cara que loucura e e o cara que teve esse do cara que é cliente do neon que tá ouvindo a gente e que já perdeu todos os cabelos da cabeça agora que a gente tá então nem na metade do episódio o cara já tá tentando o cortar os pulsos sim que que que esse cara pode fazer para se proteger além de rezar Ah tem que eu acho que é isso né tem que porque já as informações as nossas informações Elas já estão na mão né dessas quadas é que nem eu falo apenas com o seu número de CPF as quadrilhas já têm uma consulta do Governo da da polícia de de uma série de instituições aí que que são Dados vazados também que eles utilizam para puxar todas essas informações então assim não tem muito o que fazer é super difícil e cada vez mais tá muito sofisticado porque os caras ligam do número do banco Como que você vai desconfiar que é o que não é o número do banco os caras estão ali com os seus dados Como que você vai desconfiar que não é o banco então assim eh eu acho que qualquer contato que e que fazem com com você ali Acho que você tem que desconfiar pega desliga chama o banco vai direto no app vai direto ali com liga direto pro banco faz alguma coisa e proativa não não não rece tá recebendo coisas reativas ali cara dá um Dá Uma segurada Dá Uma segurada porque pode ser golpe e cada vez mais tá tem tem um risco né a gente tem aí as ias aí fazendo uma série de coisas aperfeiçoando voz imagem então cada vez mais tá cada vez mais difícil de de você identificar uma um golpe de um não golpe né quero falar com você agora quem ainda não conhece é Clever Clever é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes que tem trazido Soluções em blockchain criptomoedas e ativos digitais o objetivo da Clever é te dar liberdade financeira para operar nesse mercado de cripto então se você acredita nisso se você acredita nessa Liberdade você já pensa como a Clever vai conhecer os caras é Clever estão contratando também pessoal para trabalhar com crypto com blockchain então se você tem interesse se você tem conhecimento nessa área procura Clever se você gosta de criptomoedas se você opera no mercado você precisa conhecer a Clever precisa conhecer a soluções da Clever então o endereço tá aqui embaixo no vídeo para quem não tá no YouTube é Clever Vai lá vai conhecer que realmente é um mercado sensacional eu li hoje sobre a lei de proteção a dados e que é o órgão responsável estava envolvido né E aí eh também eh táa lendo sobre o quanto o Brasil as empresas do Brasil São eh vou chamar de punidas ou multadas quando algo do tipo vazamento de informação dos clientes acontece na Europa tem muitos casos e casos milionários mas no Brasil não existe nenhum Case Existe alguma punição será que é efetivo até o momento sinceramente tudo que eu tenho visto não mas eh até olhando esse eh vendo esse podcast informe essa agência porque Imagine se alguém te pediu empréstimo seu nome ser negativado imagina a consequência que a pessoa pode ter pela vida dela e como que ela se protege através desse óg olha não fui eu foi exatamente nesse momento de vazamento do banco neon como eu me protejo porque pode ser que tenha uma reação em cadeia disso né sim é super complicado né porque os nossos antes da de existir as agências reguladoras nossos nossos nossos dados já eram vazados né então Até onde eu sei dados nossos eram vendido na na Santa Efigênia até alguns anos atrás então assim os birôs Quem era banco os birôs vinham de todas as formas sim então assim é uma coisa super complicada mas eu acredito que eu acho que tem uma existe uma dificuldade n dos órgãos reguladores em eh acompanhar essas questões de vazamentos e etc né porque muita coisa acontece ali debaixo dos fãs ninguém fica sabendo o tanto de dados que que já vazaram e ninguém sabe de nada tem aquela coisa abafa ninguém sabe tá tudo bem ou pagou ou sei lá é e e e é complicado né porque a gente vive num momento como dado Ele é super valorizado né Eh um exemplo é o quanto foi foi vulgarizado o uso do CPF né esses dias inclusive foi um um exemplo que a própria agência reguladora do do de de uso de dados no no Brasil notificou uma rede de farmácias porque Inclusive eu até escrevi no liquidinho esses dias quando saiu a notícia eh essa mesma rede de farmácia eu deixei uma vez comprar uma barrinha de proteína deixei no caixa porque o cara se negou a me vender sem eu falar meu CPF falei meu amigo custa R 10 a Barrinha tá aqui eu tá R 10 aqui ó te pagar e v embora não tem que colocar o CPF cara tá uma vulgarização do do do do dado de Ah eu tenho que colocar o CPF para comprar uma bala para que isso torna o o o valor notado do dado pro pro cidadão normal muito pouco El ele não ele não se sensibiliza mais em dar informação para ele né isso e isso é é é muito ruim porque tem que partir do regulador né falou Não cara você vai vender se o cara não quisar dar o CPF ele não vai dar o CPF né acabou porque as pessoas não isso não cria uma sensação do quanto é importante fornecer aquele dado e o risco de fornecer aquele dado exato porque que vulgarizou né virou uma coisa eh sem sem banal né é banal da CBF é é normal né e e isso vem muito do do do dia a dia das pessoas não perceberem esse valor e da incapacidade como você mesmo falou do de ter essa fiscalização em caso de de vazamento porque hoje no Brasil ainda tem alguma alguma intervenção do regulador quanto ao uso do dado né Uhum Então esse exemplo por exemplo da notificação do CPF foi baseado no uso da da informação mas ainda é muito incipiente o a guarda e a e a e a fiscalização da custódia do dado né e do cara ser responsabilizado por um vazamento como esse né então acho que a gente tá engatando demais né cara nesse sentido tá é a gente tá dando bem bem devagarinho com relação a isso né sobre os nossos dados e tal é um e é um exemplo né você vai fazer um empréstimo você liga para uma instituição daqui a pouco tem 10 instituiç fazer ligando para você pois é falando assim pô você tá querendo fazer empréstimo tem uma taxa menor aqui então seus dados já foram comercializados ali já já vazou então assim é muito louco né porque a gente se sente impotente né e é uma invasão de privacidade da gente porque cara tô querendo fazer o empréstimo com essa instituição Por que que tem 10 outras instituções atrás de mim cara eu lembro que uns anos atrás quando saiu a aposentadoria dos meus pais cara a gente soube que a aposentadoria tinha sido aprovada e que eles iam começar a receber não foi pelo site da Caixa não foi pelos órgãos oficiais a gente desconfiou que tivesse sido aprovado do tanto de gente começou a ligar para eles para vender crédito consignado É isso aí o cara já sabia antes é isso a como ter informação antes antes do próprio do do próprio segurado Cara isso não sei se agora que o senhor aposentado e tal quer fazer um consignado sou aposentado não tô sabendo é eu fiz a abertura de um CNPJ eu recebi ligações de todos os lugares para comprar várias coisas de vários bancos Eu acho que eu já sabia que o CNPJ tinha tava Ok ó abri exatamente pela sua quantidade de ligações e não para não para É isso aí então assim é a informação da gente que nosso país não vale nada a gente não tem a gente não tem nenhuma proteção com relação aos nossos dados né e é como eu falei é uma é uma coisa que incomoda né Di assim pô você não você não quer contato você não quer você não quer falar com ninguém se quiser imprestimo eu ligo isso eu ligo eu vou lá tal e assim aí a gente se sente impotente né aí chega um momento que a gente fala assim ah meu já vazou já tipo não isso que a gente tá falando aqui do caso menos ofensivo que é só importuno de alguém ficar te ligando e tal agora da mesma mesma forma que esse cara tá ligando só para oferecer um serviço outros vão ser mais criativos que vão tentar me enganar com certeza e tentar tirar dinheiro de mim com toda certeza Então o a mesma informação que tá sendo usada de uma forma só para importunar vai ser usada pro pro mal também não tem a dúvida exato É igual tem alguns golpes que é assim né os caras consultam as pessoas estão negativadas Vê de onde tá aquela negativação liga para você e fala assim ó eu sou do do do do da instituição x aqui eu tenho eu vi que que você tem um débito de R 30.000 aqui tô com uma promoção aqui 90% de desconto aqui para você aí mand o boleto o cara paga fala assim pô vou limpar meu nome vou resolver meus problemas tô todo bloqueado aqui não consigo fazer nada não consigo alogar um apartamento não consigo comprar um carro não consigo fazer nada Aí o cara cai no golpe só pelo simples fato dele tá negativado aí o cara fic mais ferrado ainda o cara fica cara de uma crueldade esse tipo de Golpe é absurdo absurdo você tá tirando dinheiro de quem já não tem mano exatamente e assim é é uma coisa que tá na nosso nosso dia a dia então assim é super super difícil e não e não tem uma é que nem a gente tá falando não tem uma atuação para coibir né claro você tem a polícia trabalhando ali porque o dinheiro vai para para uma conta laranja você tem um um um boletim de ocorrência mas meu já foi os caras estão abrindo conta de de laranja nome de laranja tão utilizando a conta de fulano por uma x porcentagem então assim vai fazer o quê não vai ter uma punição ali é muito difícil você ter uma punição por conta de estelionato o cara fica muito tempo preso por conta disso também então assim é um crime que você o cara não tá metendo um um revólver na cara do da pessoa né tá ali tem uma coisa que eh muitas vezes as empresas acabam eu acho que você tem até mais experiência nisso não investindo o suficiente em segurança em governança em processos em né e e tudo bem não vou investir Mas será que o risco de imagem as pessoas teriam confiança em uma instituição que teve esse vazamento é o risco de imagem é uma empresa que recentemente teve lucro pel pela primeira vez e aí genericamente vamos falar de todas Será que vale a pena o risco acho que é mais para as empresas não vale a pena não é não é mais vou falar barato investir em segurança É faz toda a diferença né você ter o o o é é igual plano de saúde a gente não paga o plano de saúde pra gente usar a gente paga para não usar e segurança é a mesma coisa né A gente é um é uma coisa que pô tô pagando isso aqui para não acontecer eu tô investindo isso aqui para não acontecer mas se acontecer eu vou tá tá resguardando vou responder rápido ao incidente eu vou ter o a menor menor perda financeira ali com relação àquele incidente Então acho que é muito isso Tati eu acho que eh segurança ela não eu acho que é isso Você tem a questão da da imagem porque vale muito a pena porque pô se você tiver um prejuízo com relação a sua imagem os clientes vão para outro lugar vão procurar o outro o concorrente então você tá perdendo eh clientes e segurança é isso segurança é é algo que assim você paga para não preventivo né preventivo é o seguro é o seguro do carro né a gente O problema é que a gente tem um viés cognitivo muito difícil em relação a isso né É isso aí porque quanto mais você gasta com segurança menos parece que ela é necessária porque você tem menos problemas né então quem investe de fato em governança e segurança etc o cara vai ter bem menos problema e como ele começa a ter bem menos problema Falou cara tô gastando tanto dinheiro com segurança e governança e processo acho que dá para tirar um pouquinho isso nunca aconteceu nada é mesmo negócio da vacina a gente ficou tanto tempo com a galera sem ficar com doenças eh ruins e e sem ter crise etc que a galera começou a achar que não precisa né então quanto mais você se vacina menos vai ficar doente até uma hora que você fala para que que V vacinar nunca fico doente né então é a falsa sensação né A falsa sensação de de caus e efeito sabe mas e na assim principalmente na na visão estratégica e eu por exemplo trabalho com uma visão estratégica eu preciso mostrar valor dessa do do negócio que eu atuo das tecnologias envolvidas como que eu mostro valor na segurança eu fico imaginando olha tivemos tantos tantos ataques de doos mitig tanto também não é um pouco do gestor de mostrar o benefício ó mitig isso isso isso eh não é um tô falando de software mas de certa forma vender isso pros executivos ó mitig tanto acompanhar e mostrar o o valor também é isso aí tatia acho que o papel do do executivo né que cuida da segurança da empresa cuida de da parte tecnológica é mostrar a eficiência que tem o time de segurança as ferramentas de segurança da da empresa né então é igual você falou um exemplo prático Pô a gente conseguiu conter aqui x ataques ddos Pô eu tenho o meu time interno de segurança ele simula a tax reais na empresa aí eu vou lá e apresento os resultados ó tá vendo isso aqui é uma vulnerabilidade que eu poderia fazer isso isso e isso aí os caras Pô legal tô investindo no no meu time de segurança aqui mas essa vulnerabilidade que acha que o time achou ali o o o dano ali poderia ser milionário bilionário né então assim é são coisas gigantes ali então acho que vai do do do do gestor ali ele o Executivo ele criar estratégias para mostrar a eficiência da das suas ferramentas do time de segurança e assim por diante né então e o valor tá nisso aí né é o que você mostra faz toda a diferença faz toda a diferença com certeza e como você acha que tá o clima no neon Agora você que é da da aquele Claro deve est um clima de velório do [ __ ] é muito ruim muito Mas quais são as ações tipo como que você se se restabelece depois disso quais são eh o processo de lições aprendidas e tal Porque não adianta is é uma caça as bruxas porque você você pode trocar as pessoas se o processo é falho a governança é falha outras coisas vão acontecer como que uma empresa que passou por isso precisa Começar a se organizar na sua opinião eu acho que precisa fazer um um assessment ali né de segurança em tudo em processo pessoas tecnologia então assim é um trabalho árduo e e é um trabalho que nunca para né a esse é um trabalho que ele é constante com relação à segurança as empresas elas nunca podem deixar de olhar para isso né é algo que tem que ser contínuo não deveria ser algo sazional ou só PR a gente cumprir questões regulatórias né como a gente vê por aí falar pô vou fazer um teste ali só para me entregar o os requisitos do PCI do do bacem algo do tipo pode ser não pode ser ele tem que ser contínuo né Porque pô processos eles mudam a toda hora as pessoas mudam também e a tecnologia também Muda todo minuto a gente tá enviando código para algum lugar a gente tá criando algo novo então testar segurança ela tem que ser contínua também porque cara todo momento tá mudando alguma coisa dentro de de uma empresa né então eu acredito que essa preocupação que que tem que se ter né com relação a isso acho que é isso que faz toda a diferença a a gente tá a todo momento em Alerta né sobre o clima é uma É uma pena né porque são colegas que tão tão passando por um incidente né a gente não sabe a proporção e o quão eles estão nesse momento trabalhando para que isso se resolva Mas é isso eu acho que são lições aprendidas que de alguma maneira a gente vai vai levar paraa nossa vida são aprendizados que a própria instituição ele ela vai aprender né são é uma dor né muito grande porque pô é um pode dependendo do caso pode acabar com uma empresa né sim com certeza né O valor é muito alto da multa né então é complicado não tem só o risco de de marca né de reputação Você tem o risco de sanções Você tem os clientes que foram afetados o risco jurídico né jurídico porque o cara que sofre um golpe ou tem algum problema depois esse vazamento el pode arrolar o próprio banco como responsável ex perfeito então assim é o o o o problema ele a gente não consegue medir ele né ele é ele vai além né da nossa imaginação do que pode acontecer eu fico imaginando eh isso deve acontecer todos os dias perfeito Isso é o que a gente soube agora ex dessa instituição Mas acontece muito em vários lugares tem um conceito que é o bug boun bug bount É isso aí isso na frente esses dias e aí eu fiquei curiosa de saber e explica um pouquinho para quem não conhece como eu não conhecia como funciona se a gente sabe algumas empresas que tem esse compromisso pode falar um pouquinho sim antes da sua explicação Deixa eu só lembrar o nosso ouvinte que a gente já gravou um episódio sobre isso vou deixar o Card aqui perfeito né com Bruno um abraço pro Bruno da bug É isso aí e pris vamos atualizar esse episódio né Vamos lá então precisa legal demais bom o o conceito de bug bount ele é nada mais nada menos do que uma são hackers ali que buscam vulnerabilidades e eles recebem uma recompensa por conta de desse achado que ele que ele tem ali né então Eh algumas empresas por verem eh o ganho que se tem né de você ter um um report eh de uma V habilidade e você sei lá pô manda um um chaveiro pro cara P faz uma menção numa página pro cara eu mesmo tenho uma menção por conta disso né de uma de uma vulnerabilidade que eu achei pô achei bacana demais achei uma vulnerabilidade reportei os caras mencionaram lá tem tem o o ral da fama lá que é os os os pesquisadores os fica por curiosidade Olha é um foi um um uma página do governo alemão onde eu chi uma vulnerabilidade e eles tem até no meu perfil no Linkedin lá Vocês conseguem acessar lá e e ter acesso que eles fizeram a menção ali para pode deixar o link na descrição pode pode é tranquilo bem de bem de boa mas assim são de várias formas né isso aí você tem que saber também eh Quais as empresas que TM o programa de bug bound que são receptivas também para receber vulnerabilidades até porque a gente a gente tem a Lei Carolina Dickman né a lei o artigo 154 se eu não me engano ela ela não permite ela ela cuida ali do da das questões telemáticas né o cara testar um ambiente não autorizado ali ele pode sim ele pode ser preso inclusive por conta disso né então invasão de ambiente informático negócio assim é um termo ISO fora do comum de nós a né É maiso de de legislação mas é algo assim né exato É que nem já entra no nesse escopo se você fazer um Scan de porta num numa empresa específica Pô você tá tentando você já tá infringindo a a lei ali com relação a isso então antes de você fazer qualquer teste do do tipo você tem que ver se essa empresa ela tá registrada ali num programa de bug boun Vê se não tem um discloser ali falando pô eh a gente aceita aqui testes e tal a gente é bem receptível para isso excelente as empresas que elas é são receptivas com relação à vulnerabilidade elas tendem A tá reduzindo o seus o seu risco né Porque pô eu vou lá mando uma grana pro cara ou eu pego e mando um sei lá um copo personalizado pro cara pô Obrigado aí eu mand uma caixa de cerveja para ele pô legal Dá para ser mais Generoso né dá Com certeza pô se o cara né dependendo da criticidade né você pô você tem que fazer um negócio bem carrega do faz negócio legal né e basicamente é isso é você eh receber uma recompensa pela vulnerabilidade que você encontra mas é assustador né porque já penso você é a interpretação acaba indo você vai ser preso se você avisa para alguém então pode depende da interpretação da interpretação dessa empresa é exatamente ISS tem que ser corajoso hein para falar tem que ser corajoso até porque eh existem empresas que elas também fornecem serviço de consultoria de segurança e podem às vezes não usar de uma maneira tão lícita ali de vender o seu serviço então você tem que resguardar não é todo mundo né Tem pessoas que montam um CNPJ ali um mei aí vão lá e começa a fazer teste fala assim ó eu achei aqui essa vulnerabilidade eu acessei dados dos seus clientes e aí pô que abordagem é essa né porque você tá abordando o você tá abordando a empresa ali só que você já tá com as informações na mão ou os cara vai fechar comigo ou não vai então assim o cara fica vai vira distorção né É porque é uma coisa de distorção né então tem que é um negócio muito complicado essa questão de você achar vulnerabilidade de você reportar e é sempre uma preocupação que se tem né da das pessoas que trabalham com segurança Porque pô o hacker assim como eu a gente quer achar vulnerabilidade a gente quer pô é uma coisa que que é legal pô você gosta de explorar você quer subverter o sistema você quer entender como funciona de outra forma tal mas você tem que tá num ambiente controlado para fazer isso você tem que ter autorização para isso aí porque senão você pode ser né ali notificado você pode ser interpretado de uma forma que pô isso aqui é um crime então daqui a pouco você tá dormindo lá Polícia Federal bate na sua porta fala Opa e aí amigão tudo bem chegamos é e e é por isso que empresas nem a a bug Hunt do do Bruno el faz intermediação né isso então o cara quer inscrever a empresa dele num programa de bug de bug bount isso E aí ela faz a ponte com com os pesquisadores né com os hackers exato porque aí tem toda assinatura de nda você tem Você tem todo um resguardo por trás né não é um negócio meio que tipo e ele explicou pra gente também que você pode combinar alguns rastros pro Hacker mostrar por onde ele passou isso você pode disponibilizar uma VPN aí o Você tem todo o controle do que o cara tá fazendo ali o cara tá explorando uma API ele pode pôr uma chave no header para mostrar que no log que foi ele que fez aquela exploração exato aí você tem lá p n seu lá você coloca personalizado pô é pesquisador bug Hunt por exemplo hacker ou hacker é foi lá é assinado o hacker o hacker e e é justamente PR isso né porque você tem um monitoramento ali também se foge dos padrões que o time de geralmente é o time de soc que tá ali né olhando pro pro ambiente pô tô vendo aqui o os cara tá batendo aqui nessa AP aí de repente o cara aparece aqui no logado no banco Fala Pera aí pô que que tá acontecendo tá acontecendo E aí você tem que olhar pô é um pesquisador mas tá beleza tô olhando aqui mas pô ele tá indo longe demais aqui pô aí ele tava até agora tava fazendo um dedos naquela naquela pi agora tem um login não identificado no orac Pois é cara então assim por isso que é importante você ter esse né esse tracking ali do do pesquisador tal então assim é um modelo muito seguro né de você eh trabalhar de você reportar e além de você ser beneficiado por de pesquisadores ali que estão atrás de vulnerabilidade e estão entregando para você a correção do risco que você tem sim e aí entra a questão das Recompensas né Exatamente porque o Pegasus no caso do neon exato ele tentou pedir uma recompensa que era de cinco bitcoins no caso não era uma recompensa é uma uma extor extor exatamente ele ele justificou né ali na na entrevista que ele que ele fez ali na TecMundo né que eh os programas de balt do eu não eu não sei exatamente se o o banco neon ele tinha um programa de bug bount não ten conhecimento com relação a isso mas ele usou que as empresas brasileiras que estão em programas de bu bount elas pagam pouco né então PR ele pra visão dele que é antiética e ele trabalhar na no no modo de extorsão vale muito mais a pena porque Beleza você paga e a vulnerabilidade é 000 ali que você recebe aí ele fez as contas tal fez as contas pô se eu vender isso aqui para um para uma quadrilha aqui eles pagam para mim sei lá $000 não talvez é mais interessante para ele ali fazer esse essa venda no e o interessante a postura dele né É que ele fala eu eu trabalhei nesse projeto eu trabalho nele né é eu trabalhei nesse projeto gastei algum tempo e agora eu já vou para outro projeto é isso aí e assim é a vida e deve ser essa diferença do hacker bom e do hacker malvado é é o é a questão ética mesmo né porque você pode utilizar pro bem ou pro mal né e ele trata o a a o hacking dele como se fosse um trabalho mesmo né porque ele tá ali é que nem a Tati falou falou assim meu tô no Projeto X daqui a pouco vou pro outro tem um outro ali e é um e é e é um trabalho do cara ele trata aquilo ali como trabalho ele deve acordar de manhã cedo ele deve ligar olhar o que que ele tem e deve olhar lá ver se tem qual os Card dele do dia né para ele ele batar tá meu cambão E o pior que acontece isso aí tem alguma algumas APTS né que são esses grupos né que são organizados tiveram algumas pesquisas de empresas de seguranças que viram que na no avanço das explorações em certos ambientes alguns hackers usavam método a usavam tudo ali Imagina os Car fazendo a da qual foi o progresso impedimento impedimento É tipo isso pô não conseguiu ess aqu inject daquela pe lá pô me ajuda aqui para fazer o bypass fazer vamos fazer aqui rodar os cartão de scom para saber quanto tempo você vale essa ap tipo assim mas é mas é tem essa Depois tem uma organização depois eu posso até achar a pesquisa de segurança para até deixar é pro pessoal ver e não é brincadeira não eles trabalham como se fossem uma empresa mesmo de fachada né de de segurança de tecnologia eles agem ao invés de ser uma empresa Real é uma empresa do crime sim né não é uma empresa ética mas funciona organizada com qualquer empresa nég Exatamente porque dá muito dinheiro né Então po a organização é dinheiro no bolso é quanto mais produtiva e organizada mais dinheiro né perfeito cara Que loucura né é loucura você que tá vendo esse podcast da hora tá vendo um monte de problema aqui que a gente tá colocando né e Quer uma ajuda aí na sua empresa faz o seguinte entra no site aqui da VMB que a gente pode te ajudar vb. I nós somos uma empresa relacionada à arquitetura de soluções a modernizações de aplicações também atuamos no na frente devops para ajudar vocês a serem extremamente ágeis então dá uma olhada no nosso site que vai tá aqui embaixo vem.ai e lá você vai poder ver um pouquinho da nossa história dos nossos profissionais E aproveitando se você for um profissional da área de tecnologia que tá Aim de trabalhar numa empresa legal um monte de colega gente boa e tecnologia de ponta manda o e-mail para people care @mario aí já agora eu quero meu show que você daria de recomendação pras empresas de proteção O que fazer para evitar que isso aconteça mitigar Olha eu acredito que é o o mais importante que é a conscientização acho que a gente conscientizar os colaboradores da da empresa né sobre e as boas práticas né [Música] o a segurança ela a gente tem uma série de camadas ali que a gente adiciona né Mas a questão humana Ela é super difícil da gente da gente mitigar então acho que você conscientizar as pessoas que tão ali que tão usando o computador da empresa pô não baixa um um Plugin do do browser ali qualquer que você não conhece pô dependendo do Plugin que você instala e aquela coisa né que nem um amigo fala eh quando é gratuito você é o produto né exatamente se você não paga por um produto Talvez o produto seja você seja você exatamente então eh eu acho que é isso gente trazer mais conscientização né pras pessoas e eu acho que é isso é o eu sou sempre muito muito adepta à conscientização teve uma vez que a gente gravou um dos vários episódios já gravou com a gente Zé legal que você disse que cada vez mais o desenvolvedor e o time da ti tá passando a ser mais o alvo desses desses vazamentos desses dessas e investidas e menos usuário final né perfeito porque geralmente é um cara que tem mais acesso privilegiado cara tem acesso ao banco tem acesso a infraestrutura né exato tem acesso a repositórios etc sim e a gente vê às vezes ainda um aquele desenvolvedor Ou aquele cara que torce um pouco o nariz por questão de concessão de acesso quee acha deveria ter mais Liberdade etc À vezes o cara não pensa que não é por ele que a gente sabe que ele poderia ter acesso não teria problema se a credencial dele vai para uma mão errada né que que você diria para esse cara olha primeiro vem cá que eu vou dar dois tapas na sua orelha tem que eu acredito tem que agir com com responsabilidade né a gente e se a gente tem um ativo da da empresa se a gente tem e a confiança de ter acessos privilegiados a uma série de de sistemas a gente tem que olhar isso aí com com cuidado maior né pô eu vou usar esse login S do meu post aqui sem habilitar um o mfa não cara pô ali você tem você tem as variáveis ali com token você tem endpoint que gera o token Você tem os end points que críticos do do da empresa você não deve negligenciar dessa forma Pô você tá criando ali você tem um usuário ali pô it tudo o que você tem com relação a à segurança da sua conta deixa ela o mais segura possível porque ali você tem informações sensíveis é uma ap que você tá ali fazendo teste que você tá olhando mas ela tem dados de todos os clientes da empresa e se vazar essa essa credencial sua então acho que é ter consciência né o o cargo de segurança de alguém da engenharia desenvolvedor ele é um cargo de extrema confiança porque você tem acesso a tudo da empresa você tem acesso ao coração você tem acesso ao ambiente de desenvolvimento você tem acesso à infraestrutura você acessa a uma série de coisas extremamente críticas do do negócio então você sabendo disso você tem que se autoc conscientizar e falar assim pô eu Cara eu tenho responsabilidade sobre essas pessoas sobre os meus clientes sobre a empresa que que eu trabalho né então acho que vai muito do do cara ser consciente né da forma que ele codifica da forma que ele guarda o os os seus dados as suas informações suas credenciais tem que ter responsabilidade acho que é isso ser responsável boa Zé muito bom meu amigo prazer aço demais ter você aqui de novo o prazer é meu para ter aceitado aqui de bate pronto vi comentar esse caso aqui com a gente isso agora que você tá famosa tua gente tá mais difícil pô que é isso imagina é fogo obrigado mesmo cara sempre um prazer ter ter você aqui com a gente que é isso O prazer é meu para mim é uma é uma grande eu gosto muito de estar aqui com com pessoas inteligentes como vocês a Tati o eu aqui pra gente debater de um tema tão importante aí com é segurança de dados né então eh fico muito feliz de estar aqui com vocês e poder ter esse dia aqui onde a gente tá falando um pouquinho mais de segurança aí show de bola Obrigado Tati obrigado ter vir aqui cumprir a missão de cost comigo foi um prazer Obrigada foi um prazer de conhecer também Zé Obrigado T prazer obrigado muito bom OB mes convite muito bem você que acompanhou a gente até agora se você ainda não deixou seu like se você ainda não se inscreveu no canal se você não compartilhou esse episódio ainda eu vou pedir pro Zé hackar a sua máquina brincadeira tá na roça V hackar hein você tem essa oportunidade agora deixa o seu like deixa o seu comentário aqui manda esse episódio aí no no grupo de segurança do seu Slack do teams de qualquer outro meio de comunicação que você tenha com outros profissionais de ti e Ajuda a fortalecer aqui a nossa comunidade se você entende que a gente pode contribuir de uma forma eh maior ainda na sua na na sua formação profissional no seu conhecimento você pode contribuir também com a gente aqui e ser membro do nosso canal e vai vai ajudar a gente aqui a cobrir os custos de produção com valorzinho aí módico que você vai contribuir pro PPT no compila direto aí na plataforma do do YouTube tá bom se você não pode contribuir dessa forma você já contribui demais em compartilhando o episódio deixando seu like E ajudando a gente a aumentar a nossa comunidade beleza obrigado Zé Obrigado Tati até o próximo episódio valeu [Música] valeu i