Páginas

abril 30, 2024

[Pessoal[] MOBLY nunca mais!!! #fujam

Não sei como expressar a frustração e desespero que foi a experiência de comprar uma simples cômoda na Mobly.

Um show de horror.

Spoiler alert: Prazo longo para marcar a montagem, erros na montagem e recusa da Mobly em trocar a peça danificada pelos montadores.

A cômoda é linda, e por coincidência combinava com uma cristaleira que eu já tinha em casa. Por isso eu caí na tentação de comprar, apesar do preço exorbitante, para aproveitar e reorganizar a minha sala.


Os problemas começaram no agendamento da montagem. Feita a entrega, a única data disponível era para depois de 5 dias. Mas o sistema deles não registrou o meu agendamento e, no dia esperado, ninguém apareceu. A montagem tinha sigo agendada para 18/4, mas pelo chat de atendimento existente no próprio site da Mobly a atendente me disse que a montagem não foi agendada (mesmo eu mostrando print da tela do meu celular de quando eu fiz o agendamento) e me deu como única opção agendar a montagem pelo site da empresa, que só mostrava disponibilidade a partir de 23/4. Ou seja, isso representava mais 5 dias de espera. Decepcionado, fiz uma reclamação no Reclame Aqui - que só foi respondida depois de 8 dias dizendo que ia dar prioridade ao meu caso - mas quando responderam a cômoda já tinha sido montada!

Então, passados ao todo 10 dias de espera, os montadores da empresa parceira da Mobly (chamada Parafuzo) apareceram e finalmente montaram os móveis que eu comprei. Mas... 

Mas a cômoda tem uma montagem complicada, e aí o montador indicado pela Mobly errou na montagem de 4 das 9 gavetas: 2 ficaram sem alguns dos parafusos de fixação e 2 foram danificadas justamente por causa desses parafusos. Em uma gaveta as pontas de 2 parafusos vazaram a estrutura de madeira e estufaram um pouco o canto da parte interna. Em outra, causaram uma rachadura na lateral da gaveta. Além disso, o tampo veio com arranhões. Isso num móvel que, pelo site, custa cerca de 2 mil reais, na promoção!!! Por esse preço era para estar impecável, não é?

   

No mesmo dia da montagem, 23/04, eu já abri uma reclamação pela central de atendimento da Mobly, que deveria ser respondida em 2 dias úteis. Após esperar 10 dias pela montagem e quatro dias para responder a reclamação, em 27/04 recebi um e-mail deles oferecendo R$ 178,00 para eu ficar com a cômoda avariada e não precisar fazer a troca das partes danificadas. Pelo jeito esse é um procedimento padrão deles: quando entrei em contato com o atendimento, em alguns momentos eles ofereceram um valor em dinheiro para não precisar corrigir o problema e deixar como está :(


Poxa, você paga 2 mil reais numa cômoda para ficar com ela riscada e rachada?

Na segunda-feira 29/04 eu entrei em contato com o atendimento para tratar do pedido de troca das peças da cômoda, e recusar a "oferta" para ficar com as peças danificadas. Para minha surpresa, a Mobly se recusou a trocar o tampo e as duas gavetas avariadas e deu como única opção trocar TODA a cômoda.

 

Imagina só, a troca de toda a cômoda é um processo que demora 7 dias para fazer a retirada da peça, mais 7 dias úteis para enviar uma nova, e depois ainda vou ter que agendar a montagem da cômoda nova, que são mais 5 dias de espera. UM PESADELO.

Em vez de esperar esse prazo absurdo pela troca e montagem da nova cômoda, preferi solicitar o cancelamento da compra. E, mesmo assim, me disseram que tenho que esperar 7 dias para a retirada do produto e que eu sou obrigado a embalar o móvel!!!


Muito decepcionante e desesperador esse serviço de montagem e o atendimento da empresa.

Olha que interessante: em 29/04 eu fiz uma avaliação negativa do produto, na página da cômoda. Coloquei apenas 1 estrela e contei o ocorrido. Mesmo recebendo um e-mail de confirmação.... a minha avaliação não foi publicada!!!




Hoje, 30/04, não consta nenhuma avaliação negativa na página da cômoda:


Será que é por isso que o produto só tem 4 e 5 estrelas? Será que qualquer avaliação abaixo disso não é publicada?

NUNCA MAIS COMPRO NADA NESSA LOJA.

MOBLY NUNCA MAIS !!!!

PS: Em 2006 eu contei aqui no blog como o Submarino destruiu o meu Natal, entregando um presente bem depois da data prometida. Nunca mais comprei lá (nem sei se o Submarino ainda existe, kkkkkkk). Então, quando falo que não vou comprar nunca mais, é sinal que eu não vou mesmo. E não recomendo.

abril 29, 2024

[Cyber Cultura] GifCities

A notícia é antiga, mas nem por isso deixa de ser legal e, muito menos, nostálgico.

Há quase 10 anos atrás o pessoal do Internet Archive criou o GifCities, uma página de busca para os gifs (imagens animadas) bem antigões que eram muito usados nos primórdios da Internet, no site Geocities - que era o maior site de hospedagens de páginas nos primórdios da Internet, lá pelo final dos anos 90.




abril 26, 2024

[Carreira] As empresas mais tóxicas do Brasil

Há algumas semanas atrás viralizou no Twitter uma planilha, disponibilizada online, batizada de "As empresas mais tóxicas do Brasil".

E esse formulário fez tanto sucesso que agora (spolier alert!) promete virar um site, "Exposed Workplaces".

Imediatamente a planilha viralizou porque continha comentários sobre comportamentos tóxicos das empresas (alguns preocupantes, outros engraçados). Na época, com cerca de 2 mil linhas, ela chamou a atenção da galera e foi compartilhada diversas vezes. Naquele momento, o formulário que gerou a planilha foi descoberto, mas estava desabilitado. Poucos dias depois, provavelmente por conta da grande repercussão do caso, o formulário foi reativado e, na última vez que consultei, a planilha já tinha mais de 17 mil linhas de comentários - cada linha correspondendo à denúncia de uma empresa.

O formulário é anônimo e convida as pessoas a denunciar comportamentos tóxicos frequentes nas empresas em que trabalham. Os relatos vão desde gestores abusivos, salários baixos, pressão por metas, passando por diversos casos de assédio moral e sexual. Muitos relatos também são acompanhados de denúncia de omissão, conivência ou até vingança, dos departamentos de RH ou gestores frente à esses problemas.

Tem algumas zoeiras também, porque Brasileiro não deixa passar batido...

Alguns depoimentos são replicados no perfil do Instagram dessa iniciativa: http://instagram.com/empresas.toxicas.

Vamos ser sinceros, é um projeto interessante, pois oferece um canal para as pessoas denunciarem, aparentemente de forma anônima, os comportamentos errados e tóxicos encontrados nas empresas. A verdade é que nenhuma empresa é totalmente "santa", livre de problemas ou defeitos, que podem ser algo pontual ou reflexo de uma cultura corporativa. Mas, na minha opinião, o pior é que muitas vezes as empresas promovem um discurso totalmente fora da realidade.

Por outro lado, as avaliações são subjetivas e muitas vezes dependem da opinião ou de um fato ocorrido com uma pessoa ou momento específico. E, muitas vezes, o que é bom para um funcionário não é bom para o outro - por exemplo, quando falamos de remuneração, valores subjetivos como reconhecimento, ou quando um chefe despreparado contamina toda a sua equipe com um comportamento tóxico. Por isso mesmo, é importante existir um canal para as empresas responderem à essas denúncias (mesmo que na prática seja usado por algumas empresas para apenas "passar pano" e fingir que estão resolvendo o problema, rs...).

Afinal, que nunca passou por um perrengue no trabalho, né? Quem nunca teve que engolir um sapo em nome dos boletos para pagar?

(gatilhos disparados)

(pausa dramática)

Na minha opinião, essa iniciativa é necessária para garantir uma maior transparência e sinceridade nas relações profissionais - que são naturalmente desbalanceadas em favor do lado mais forte, as empresas. A iniciativa também permite a proteção dos profissionais (que tem agora uma forma de denunciar e avaliar as empresas antes de trabalhar nelas) e da própria empresa, pois muitas vezes os canais internos de denúncia são falhos, visados ou ineficientes.

Na falta de uma plataforma profissional e transparente para fazer tais denúncias, vamos torcer para essa nova plataforma se profissionalizar, incluindo com a possibilidade das empresas contribuírem e responderem às denúncias.

OBS: Aparentemente o responsável pelo formulário, planilha e site é um desenvolvedor da Magalu chamado Anderson Weber, pois seu perfil no Linkedin tem vários posts promovendo a iniciativa.

Nota (adicionada em 27/05/2024): O formulário online foi aposentado e virou mesmo um site: exposedworkplaces.com. As denúncias e consultas são feitas agora pelo site (hoje, quando acessei, a busca não funcionava, sempre dava erro) e o site agora permite que as empresas se cadastrem e possam responder às denúncias.

abril 25, 2024

[Segurança] Treinamento sobre OSINT - Open Source Intelligence


O pessoal da Apura Cyber Intelligence S/A está oferecendo um treinamento online e gratuito sobre OSINT (Open Source Intelligence) Para seus clientes e parceiros. O treinamento será realizado no dia 7 de maio às 19h.

O treinamento será ministrado por Francisco J. Rodríguez Montero, Senior Global CTI Consultant, e Julio Cesar Rodrigues, especialista da Apura. Não perca a chance de aprimorar seus conhecimentos em um evento de 3 horas, abordando temas como introdução ao OSINT, inteligência cibernética, e demonstrações práticas utilizando a plataforma BTTng.

Com número limitado de participantes, o treinamento é exclusivo para clientes Apura e profissionais de cibersegurança do mercado corporativo. Preencha o formulário com seu e-mail corporativo para se inscrever: https://conteudo.apura.com.br/treinamento-osint

O treinamento será online, realizado no dia 7 de maio das 19h as 22h. O link será enviado para as pessoas inscritas previamente.

abril 16, 2024

[Segurança] A BSidesSP está ON !!!

Está dada a largada para a Security BSides São Paulo (BSidesSP) 2024.


Nesse final de semana atualizamos o nosso site com muitas novidades sobre a BSidesSP, vamos a elas:
  1. Publicamos as primeiras palestras aprovadas no nosso CFP, veja a página de Palestras e palestrantes (a agenda será montada em breve);
  2. Liberamos a descrição dos 3 treinamentos que vão ocorrer no dia 18/05, das 15h as 18h;
  3. Divulgamos também a listagem com a maioria das Villages que teremos este ano, já são 11 vilas temáticas confirmadas para o domingo 19/05;
  4. Atualizamos a página do Capture the Flag (CTF), descrevendo como será a competição. Lá você vai ver que, além de estamos com o Call For Challenges para o nosso CTF aberto, onde você pode enviar sugestões de desafios, nós também teremos uma etapa de "Esquenta", que vai ser onloine, antes do evento, e também vai valer prêmios!
E tenho também um spoiler: a partir da madrugada dessa terça-feira, 16/04 (hoje), vamos abrir as inscrições para a BSidesSP!!!

A propósito, vocês viram os nomes das categorias dos nossos patrocinadores? Foi inspirada nos metais nobres em algumas séries conhecidas do publico geek:
  • Adamantium
  • Vibranium
  • Aço Valeriano
  • Dragon Glass
Você concorda na classificação que demos? O Adamantium do Wolverine é mais forte do que o escudo do Capitão América? O Aço Valeriano não consegue cortar o escudo? E o Dragon Glass, será que só serve para fazer biju e matar os White Walkers? rs...

Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países.

A BSidesSP 2024 conta com o patrocínio da ConvisoGoogleHacker RangersillimioLogical ITApura Cyber IntelligenceHekateTenchi e WB Educação, além da Bug Hunt. O CTF está sendo realizado graças ao apoio da comunidade Hack in Cariri e ao apoio da Lumu. Se a sua empresa está interessada em patrocinar o evento, envie um e-mail para "info _arroba_ securitybsides.com.br".

Lembre-se: a BSidesSP acontecerá nos dias 18 e 19 de Maio de 2024, no Novotel Sao Paulo Jaragua Conventions (R. Martins Fontes 71, Centro, São Paulo/SP, CEP 01050-000).

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais e no nosso site.

PS: Post atualizado em 06/05.

abril 15, 2024

[Segurança] Permissão para Participar de CNPJ

Isso é uma novidade para mim, um recurso bem legal: proteja o seu CPF para ele não seja usado para abrir empresas sem o seu conhecimento!

Recentemente a Receita Federal apresentou uma nova ferramenta no Portal Redesim para combater fraudes de abertura de empresas com os dados pessoais (CPF) de terceiros, justamente evitando que o CPF seja utilizado por fraudadores para abrir empresas laranjas.


O Portal Nacional da Redesim possui a opção "Permissão para Participar de CNPJ" que permite evitar o uso não autorizado do seu CPF na abertura de novas empresas (CNPJs), protegendo assim o seu nome e suas informações pessoais contra esse tipo de fraude.


É simples ativar essa proteção:
  1. Acesse o Portal Nacional da Redesim, na página de Permissão para Participar de CNPJ;
  2. Faça o login com sua conta gov.br;
  3. Clique na opção "Proteger meu CPF" e você será direcionado para a página de confirmação, e a partir disso, o seu CPF estará impedido de participar do quadro societário de empresas (pessoas jurídicas / PJ).
O impedimento somente será válido para as novas inscrições e inclusões no CNPJ a partir da realização deste pedido, e não altera o quadro societário das pessoas jurídicas das quais você já faz parte.

Veja também:

abril 12, 2024

Posts que nunca foram escritos

Chegou a hora de dar uma limpada no meu backlog de assuntos e posts não finalizados aqui no blog.

Em uma única semana no início de Agosto, nós temos três eventos de segurança, incluindo dois dos maiores eventos em todo o mundo: a BSides Las Vegas, emendada com a Black Hat USA e seguida pela Defcon. E tudo isso em uma cidade intensa como Las Vegas! A semana é tão intensa que os americanos já batizaram ela de "Hacker Summer Camp". E, em 2023, nós organizamos um pequeno evento para ser o ponto de encontro dos brasileiros, a BRHueCon.

Ransomwares e mortes nos hospitais:
Apresentação interessante, do pessoal da Kaspersky: Insights to Ransomware Tactics and Negotiation.

Relatório bem detalhado da Radware sobre hacktivismo, de abril/2023 (antes do conflito entre Israel e Hamas): Hacktivism Unveiled, April 2023 Insights Into the Footprints of Hacktivists.

Artigo interessante, que eu pensei em fazer um post sobre isso, mas não fiz (rs...): Cyber Escalation in Modern Conflict: Exploring Four Possible Phases of the Digital Battlefield

Hum... não achei essa lista muito correta, acho que facilmente encontramos roubos de dados e de valores muito maiores do que esses... Conheça os 5 maiores roubos online da história.

Informações interessantes sobre cuidados e fraudes com o CNPJ: Usar CNPJ de outra pessoa é crime? CNPJ de terceiros: entenda.

Curioso: Como Descobrir se Alguém Está na Cadeia

Dica: Artigo bem legal do Eric S. Raymond: Things Every Hacker Once Knew.





[Segurança] InstallFest na CryptoRave

Desde o seu início, todas (ou praticamente todas?) as edições da CryptoRave tiveram um InstallFest, um espaço para ajudar as pessoas interessadas em instalar sistemas operacionais e ferramentas livres em seus computadores.

Ou, como dizem os organizadores do evento...
"Venha libertar seu computador na CryptoRave 2024!"

Hoje a organização da CryptoRave anunciou que, novamente, terá um espaço denominado InstallFest para reunir pessoas dispostas a instalar e configurar sistemas operacionais livres, baseados em GNU/Linux em suas máquinas. Ou seja, para "libertá-las de seus sistemas proprietários".

Neste espaço pessoas voluntárias do evento vão te auxiliar na instalação de dois sistemas operacionais com proposta distintas:
Os organizadores compartilharam algumas dicas para as pessoas interessadas em libertar suas máquinas:
  1. Faça backup dos dados que deseja preservar: O processo de instalação de ambos os sistemas operacionais oficialmente suportados pelo evento envolvem deletar qualquer arquivo contido no volume/partição em que será instalado.  Realize um backup antes de comparecer ao
    InstallFest., pois a CryptoRave não se responsabiliza pela integridade destes arquivos e não fornece mídias para backup dos mesmos;
  2. Traga a fonte de alimentação da sua máquina, pois o processo de instalação e configuração pode ser longo e sua bateria pode acabar;
  3. Tenha em mente que você deve estar presente e junto a sua máquina durante todo o processo de instalação, pois será necessário realizar algumas ações (inputs) suas em algumas etapas do processo;
  4. Serão usados pendrives do tipo USB A como mídia de instalação do sistema operacional Debian e Tails, por isso é necessário que sua máquina possua uma porta USB A ou um adaptador para sua utilização, além de permitira inicialização ('boot') por pendrive;
  5. Confira os requisitos básicos de sistema para rodar o Tails.
A CryptoRave não tem como garantir a plena e total integridade e funcionamento de sua máquina ao final do evento. Por isso a organização do evento exige que seja assinado um termo de responsabilidade antes que as pessoas voluntárias possam mexer em sua máquina. Cópias do termo estarão disponíveis no local.

Venha para a CryptoRave 2024!!!
  • Dias 10 e 11 de maio de 2024
  • Local: Biblioteca Mário de Andrade: Rua da Consolação, 94 - República, São Paulo - SP. Ao lado da estação do metrô Anhangabaú (linha vermelha)
  • cryptorave.org


Veja também:

abril 10, 2024

[Segurança] A Cloud Security Alliance (CSA) faz 15 anos!

Parece que foi ontem que a Cloud Security Alliance (CSA) surgiu... mas não, isso aconteceu há 15 anos atrás!!!


Em 2009, a Cloud Security Alliance (CSA) inaugurou a discussão e pesquisa sobre o cenário da segurança em nuvem ao publicar a primeira versão do seu principal Guia de Segurança, o Security Guidance for Critical Areas of Focus in Cloud Computing 4.0. Ao celebrar o seu 15º aniversário, é inegável o pioneirismo e o papel fundamental da CSA na construção de um ecossistema de nuvem mais seguro e confiável.

Nesses 15 anos a CSA produzimos mais de 600 materiais de pesquisa e construiu uma comunidade que inclui mais de 500 membros corporativos, mais de 100 capítulos globais, mais de 16.000 colaboradores voluntários de pesquisa e mais de 200.000 membros individuais.

Para saber mais:

abril 09, 2024

[Segurança] Previsões para 2024

Eu sempre publico esse post no final de dezembro ou início de janeiro, mas infelizmente eu perdi o timing dessa vez. Mas, para não passar em branco nem perder totalmente o trabalho, antes tarde do que nunca, vamos apostar em quais serão as principais ameaças no cenário cibernético neste ano?

Vamos começar com as previsões óbvias, aquela que todo mundo comenta:
  • IA, IA, IA
    • a explosão de deep fakes, para personificação de pessoas, tanto para golpes de promoção de produtos fraudulentos, fake news eleitorais, para golpes financeiros (phishing, golpe do whatsapp) e para burlar a biometria facial
    • IA utilizada cada vez mais para produção, obfuscação e otimização de código de malwares;
    • IA usada para golpes de phishing, trazendo mais credibilidade para a mensagem e possibilitando e viabilizando adaptar golpes para vítimas outras línguas, gírias, culturas e dialetos;
    • IA com deepfake pode turbinar ataques direcionados as empresas, desde a praparação do ataque até mesmo sua execução;
  • IMHO, Ransomware é o "novo normal": é igual a COVID, vai continuar por ai para sempre, todo mundo pode ser infectado a qualquer momento e de vez em quando tem alguns picos de infecção;
  • Os grupos de ransomware com foco cada vez maior em explorar 0-days em produtos de terceiros (supply-chain attack);
  • Temos uma nova buzzword, graças ao fato acima: os N-days, que são as vulnerabilidades (0 days) recém descobertas e com atualização tão recente que não deu tempo da grande maioria do pessoal corrigir. 

Agora, vamos ver algumas previsões mais legais:

  • No Brasil, o uso de malwares de celular para explorar transações PIX deve continuar muito ativo, com novas famílias surgindo e com a possibilidade de exportar essa tecnologia para outros países que também tem sistemas de transferência instantânea e com grande penetração de mobile banking;
  • O grande risco do uso malicioso da IA para criar deep fakes e burlar a autenticação facial em aplicativos bancários, que já tem acontecido de forma incipiente, é que isso vai causar uma grande crise da identidade digital no mercado, graças a dificuldade de provar a identidade de alguémd e forma online. Teremos, portanto, uma necessidade urgente para buscar soluções confiáveis de autenticação online;
  • Esse vai ser o ano das tretas cibernéticas nas eleições - Brasil, Rússia, Ucrânia, Reino Unido e Estados Unidos passarão por eleições - e o grande temor é uso dos deepfakes gerados por IA para espalhar propaganda enganosa e fake news;
  • Vou fazer coro com a Kaspersky: o cibercrime brasileiro tem grande possibilidade de se expandir globalmente, exportando malwares, graças ao nosso know-how em explorar transações instantâneas (PIX), uso das tecnologias de acesso remoto aa dispositivos móveis (RAT) e de transação automatizada (ATS) e, além disso, pelo fato dos criminosos europeus estarem mais focados no desenvolvimento de ransomware do que de malware bancário.
  • Pressão cada vez maior pela criminalização do pagamento de resgates de ransomware, principalmente pelos legisladores, e podemos chegar ao ponto das empresas de seguro cibernético podem não incluir o pagamento na cobertura da apólice;
  • Maior valorização da área de conscientização.

Duas iniciativas devem causar impacto nos EUA:

  • A partir de 15 de Dezembro, entra em vigor uma nova regulamentação da SEC referente a divulgação de incidentes, que exige a notificação de incidentes de cibersegurança em até 4 dias;
  • National Cybersecurity Strategy da Casa Branca responsabiliza as organizações que não tomam precauções razoáveis para proteger seu software, o que tem alavancado as iniciativas de gestão de vulnerabilidades e patches.

Que tal algumas previsões mais bizarras?

  • O Gartner adora criar siglas e buzzwords, né? Para 2024, eles apostam nas ODMs (Outcome-Driven Metrics): as métricas orientadas por resultados de segurança cibernética serão cada vez mais adotadas para permitir que oose executivos entendam a influência dos investimentos em segurança cibernética nos níveis de proteção fornecidos que eles geram;
  • Segundo a Palo Alto, A função do CISO evoluirá para Chief AI Security Officer (CAISO), habilitando o uso de modelos de IA para ajudar na prevenção de ameaças de forma proativa por meio de sistemas autônomos e em tempo real.

Veja também uma entrevista que eu dei durante o evento Cyber Security Summit, sobre as Tendências em Cibersegurança:

Quer aproveitar esse período de início de ano para pensar nas suas metas pessoais para o ano novo? Então eu sugiro esse artigo na newsletter do Folha Carreiras: tema da semana: metas de ano novo.

Para saber mais:


Para fechar esse post de forma bem humorada, que tal ver essas previsões do Porta dos Fundos?