[Segurança] O fator humano no vazamento de dados da Capital One

O vazamento de dados do banco americano Capital One, que aconteceu em Julho de 2019 e afetou mais de 100 milhões de clientes do banco, trouxe muitas oportunidades para discussão sobre o cenário de vazamento de dados, uma vez que envolveu um importante banco americano, que até então era considerado uma grande referência na adoção de computação em nuvem.

Embora o banco fosse reconhecido por possuir um grande domínio da tecnologia necessária para sua migração para a nuvem, a ponto de ser apresentado como estudo de caso no site da AWS, o fator humano pode ter sido um importante facilitador do incidente. De acordo com uma reportagem publicada no jornal The Wall Street Journal em Agosto de 2019, e reproduzida no blog da empresa BitSight, há indícios de que a moral do time de segurança estava abalada no período que antecedeu o incidente, o que causou uma evasão de talentos. E isso pode ter estimulado a falta de cuidado que fez com que o incidente (a invasão e o roubo de dados) passasse desapercebido.

Segundo a reportagem, antes do incidente a empresa havia trocado o CISO, contratando um profissional originado do setor público, que entrou em conflito com a cultura dos funcionários existentes. Devido a esse conflito, vários profissionais deixaram a empresa. A reportagem completa que a Capital One estava sofrendo um grande turnover no time de segurança, com diversas trocas nas posições de gestão do time, e que apenas em 2018 a empresa havia perdido 30% de seus profissionais!

Antes uma empresa que atraía os talentos em tecnologia, de repente a Capital One se rendeu a um cenário aonde os funcionários estavam desmotivados e os projetos se perdiam na politicagem.

Segundo consta na decisão do Office of the Comptroller of the Currency (OCC),  que estabeleceu uma multa de 80 milhões de dólares à Capital One por causa do incidente, falhas de gestão também ajudaram a permitir que o incidente acontecesse. A OCC aponta que a auditoria interna da Capital One falhou em reportar os problemas da empresa para o Comitê de Auditoria e o Board da empresa falhou em tornar o time de gestão responsável por corrigir as falhas identificadas nos controles internos e nas vulnerabilidades.

Para saber mais:

• Capital One Cyber Staff Raised Concerns Before Hack
• As the Capital One Breach Proves, Effective CISO Leadership Starts with Culture

[Segurança] Materiais úteis sobre a LGPD

Neste mês, Agosto, é uma data marcante para a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), uma vez que ainda há a possibilidade da lei entrar em vigor ainda nesse mês. A LGPD, lei nº 13.709 de 2018, foi sancionada em Agosto de 2018 e tinha a previsão inicial para entrar em vigor em Agosto de 2020.

Entretanto, há uma grande incerteza jurídica sobre o início de vigência da LGPD, pois a medida provisória (MP) 959/2020 que ainda está em vigor (e vence no dia 27 de agosto) adia a data de início para 03 de Maio de 2021. O problema é que essa MP está prestes a vencer, e se não for transformada em lei pelo congresso, a vigência volta a ser a original, 14 de Agosto de 2020 (ou seja, daqui a 2 dias). Assim, todos estamos dependendo de como o Congresso vai dar encaminhamento na medida provisória.

A LGPD é muito importante para as empresas brasileiras e empresas internacionais que prestam serviço no país ou para consumidores brasileiros, pois ela afetará a maneira como as empresas tratam os dados pessoais de seus clientes, funcionários diretos e terceirizados. A LGPD estabelece diversas regras específicas para a coleta, manipulação, armazenamento, compartilhamento e remoção de dados pessoais, atribuindo maior controle e proteção para os titulares dos dados.

Mesmo com essa incerteza, as empresas estão trabalhando fortemente para se adequar a lei, e por isso eu quero destacar alguns materiais bem legais que podem ajudar a todos:

• Notícia: CNI lança cartilha gratuita com orientações sobre a Lei Geral de Proteção de Dados (idem)
• Cartilha "LGPD - O que a sua empresa precisa saber" (pdf)
• A DARYUS disponibilizou uma Planilha | Matriz Cruzada da LGPD versus ás ISO 27701, ISO 27001 e ISO 27002 (um material bem legal, que cruza todos os parágrafos da LGPD com os respectivos itens das normas ISO 27701, ISO 27001 e ISO 27002)
• Veja o "Guia de Boas Práticas para Implementação na Administração Pública Federal" (adicionado em 19/08)
• Simulador LGPD by Tempest, com perguntas relacionadas ao tema para oferecer uma visão da sua empresa e dos pontos de atenção
• Quiz bem legal do Estadão: "Teste seus conhecimentos sobre a Lei Geral de Proteção de Dados (LGPD)"
• Veja também esse teste de conhecimento da Daryus
• A Globo.com e o Serpro tem páginas dedicadas a LGPD, e são um bom exemplo disso:
• Globo Privacidade
• Serpro e LGPD

Além da pequena lista acima, tem muito material disponível online sobre a LGPD (artigos, palestras, cartilhas, etc). Eu quero aproveitar esse post para compartilhar uma cartilha sobre a LGPD criada pela Confederação Nacional da Indústria (CNI). A CNI elaborou e disponibilizou gratuitamente uma cartilha bem completa e bem feita sobre a LGPD, com diversas informações para orientar as empresas sobre a lei e como aplicá-la.

A cartilha, com 45 páginas (e um anexo com parte do texto original da LGPD) fornece informações relevantes sobre privacidade e detalha os principais pontos da lei, que as empresas devem esclarecer para se adequar. A cartilha também tem o mérito de amarrar os temas de proteção de dados pessoais, segurança da informação e proteção dos segredos industriais.

[Segurança] BSides São Paulo 2021

Aproveitando o recente anúncio de que a H2HC foi adiada para 2021, nós da BSides São Paulo também divulgamos um comunicado oficial de que decidimos não mais realizar a BSidesSP neste ano. Veja uma transcrição do nosso anúncio:

Nós tínhamos expectativa de que a pandemia do novo Coronavírus pudesse ser controlada e regredisse no segundo semestre deste ano. Entretanto, acreditamos que mesmo num cenário de melhora o risco para a saúde ainda é grande, o que torna proibitivo a realização ainda neste ano de um evento do porte da Security BSides São Paulo.
Por isso, decidimos anunciar o cancelamento oficial da BSidesSP para o ano de 2020, e esperamos encontrar todos vocês novamente em Maio de 2021, de uma forma segura e com todos saudáveis.
Acreditamos que a participação presencial continua sendo um dos grandes diferenciais da BSidesSP, com nossas diversas palestras e oficinas, atividades para toda a família, além do churrasco e dos shows. Com isso construímos um espaço que agrega e engrandece toda a comunidade. Como não conseguimos reproduzir esta experiência em um evento online, não optamos por este caminho. Lembramos que, durante a pandemia, há diversas lives e eventos online de qualidade, e aconselhamos a todos que participem para manter o conhecimento vivo.

A nossa idéia original tinha sido adiar o evento de Maio para Novembro, na expectativa de que no final deste ano a pandemia já estivesse controlada. Entretanto, acreditamos que a situação não mostra sinais de melhora, principalmente agora que já atingimos a triste marca de 100 mil brasileiros mortos por causa da pandemia.

Também acreditamos que a participação presencial um dos pontos fortes do evento, junto com as palestras de ótima qualidade. Gostamos de ver as pessoas, conversar com os amigos, fazer zoeira, comer espetinho e bater papo regado a cerveja e show de rock nos intervalos. Gostamos de ter diversas atividades acontecendo ao mesmo tempo, como palestras, as oficinas, o CTF, as diversas villages e as atividades de segurança e robótica para crianças. Não conseguiríamos reproduzir essa diversidade e interatividade em um evento online, por isso preferimos focar no que sabemos fazer de melhor.

[Segurança] H2HC 2020 cancelada

Nesse final de semana, em que coincidentemente o Brasil bateu a triste marca de 100 mil mortos pelo COVID-19 (mais mortos do que nos 5 anos da Guerra do Paraguai), os organizadores da H2HC anunciaram que decidiram cancelar a edição deste ano do evento.

"Após muita consideração e pesquisa, tomamos a difícil decisão de, pela primera vez em 17 anos, cancelar a H2HC, devido ao COVID-19.
(...)
Infelizmente da forma como vemos, somos responsáveis pelo bem estar de todos durante o evento. Embora tenhamos encontrado formas e parcerias para podermos oferecer máscaras, face-shields e maior espaçamento no evento, a responsabilidade para com a saúde das pessoas não pode ser aceita sem profunda consideração. O momento politizado e a verdade obscurecida fazem com que não seja justo tomarmos tal decisão em nome de todos. (...)"

A H2HC de 2021 já tem data marcada (23 e 24 de Outubro), e quem comprou ingresso para este ano pode, automaticamente, usá-lo para o ano que vem (ou pedir o reembolso).

A H2HC é o melhor evento nacional de segurança, com 17 anos de muito conteúdo de qualidade, muita treta e muita zoeira. Ela representa a verdadeira "cara" da nossa comunidade. Por isso, todo ano é um evento que todos esperam ansiosamente, contam os dias e as horas para o evento chegar, e todos desejam participar!

Como um organizador de evento (a Security BSides São Paulo), eu compartilho com o pessoal da H2HC a dificuldade de tomar essa decisão. Por um lado, é lógico que amamos essas iniciativas e a oportunidade de juntar os amigos e a comunidade, ainda mais no caso de um evento com qualidade técnica inquestionável como a H2HC. Por outro lado, temos a triste realidade atual, aonde uma pandemia representa um risco sério de saúde para todos nós. No final, a decisão deve pender para o bem-estar de todos.

O que eu quero destacar, neste post, é a percepção de que a maioria dos eventos nacionais da comunidade de segurança optaram pela mesma decisão: cancelar a edição deste ano e não realizar uma edição online, por entenderem que um dos grandes valores é a interação presencial entre os participantes.

Ou seja, estou falando dos eventos que tem um grande foco na comunidade e que são organizados pela própria comunidade, de forma voluntária e, na maioria das vezes, heróica. Além da H2HC, o YSTS, a BSides Vitória, a BSides São Paulo, o Jampasec também optaram por esperar até o ano que vem. Em comum, estes eventos tem palestras de excelente qualidade associadas a grande oportunidade de interação entre as pessoas durante o evento, com muito bate-papo nos corredores e nos bares, com zoeira, fotos, cerveja, e com a galera se divertindo e interagindo muito. Essa experiência presencial não pode ser reproduzida no evento online, infelizmente, e são algo muito forte e importante no caso destes eventos voltados para a comunidade, ajudando a amadurecer a nossa comunidade nacional de segurança.

O trecho abaixo, retirado do comunicado da H2HC, mostra a importância do evento presencial:

"A próxima opção considerada foi a de realizarmos um evento online (ou 'digital'): participamos e acompanhamos diversas iniciativas, desde as menores 'live' até conferências da área com mais de 20 mil pessoas. Nenhuma delas demonstrou o nível de interação que esperávamos; e o motivo que gerou a criação da H2HC, que foi de proporcionar uma forma dos hackers se encontrarem, para trocarem idéias e aprenderem uns com os outros não nos pareceu possível neste formato. Cada um dos diferentes grupos de pessoas que comparecem a H2HC já possuem suas redes de conexões online. E conteúdo disponível online já existe em enorme quantidade. Apenas o conteúdo não faz a comunidade. E a tecnologia não esta, ao nosso ver, ainda preparada para substituir o encontro pessoal e as diversas oportunidades criadas durante o evento presencial. "

[Segurança] Reserve a sua agenda para o Security Summit de Vitória

Uma das boas novidades nos eventos de segurança deste ano (que tem sido bem caótico, BTW), é que o pessoal da comunidade de Vitória, no Espírito Santo, se organizou para criar um evento bem legal, com uma pegada técnica e corporativa, o SECURITY SUMMIT & EXPO.

O evento vai rolar nos dias 28 e 29 de agosto de 2020, e devido a pandemia do novo Coronavírus, será realizado online e totalmente gratuito, o que dá a todos nós a oportunidade de assistir o evento sem sair de casa. No 1o dia serão realizadas as palestras, e no segundo dia os workshops (mas eles estão esgotados, e no site há a promessa de que podem abrir mais turmas).

O time de palestrantes está sensacional, abordando diversos temas sobre as tendências mais importantes no mercado de segurança da informação, incluindo LGPD (um tema que não pode faltar em qualquer evento deste ano!), engenharia social, transformação digital, cibercrimes e muito mais.⁣

No ano passado, a comunidade de Vitória realizou a primeira Security BSides no Brasil fora de São Paulo, a BSides Vitória, e por isso, fico muito feliz em ver a comunidade da região se fortalecendo e criando eventos de qualidade!

Anota aí na sua agenda:

• Quando: 28 e 29 de agosto de 2020
• Onde: Online
• Inscrições: gratuitas, pelo Sympla
• Site: www.securitysummit.vix.br
• Insta: @securitysummit.vix

[Segurança] Ransomwares e Double Extortion

Uma nova ameaça surgiu recentemente no mercado recentemente e já afetou algumas centenas de empresas no mundo todo, o ataque de...

Double Extortion

Nessa nova modalidade de ciber ataque, as novas famílias de ransomwares não se limitam a sequestrar os dados, como acontece normalmente. Elas também roubam os dados e ameaçam a vazá-los caso a vítima não pague o valor exigido na extorsão. Além da vítima ter seus dados sequestrados, sem conseguir acessá-los, elas também sofrem a ameaça de terem seus dados vazados pelo ransomware, caso não paguem o sequestro.

A Tempest aponta oito famílias de ransomware com esta característica que estão mais presentes atualmente, e são utilizadas por 11 grupos criminosos diferentes: Maze, Snake, RagnarLocker, Clop, REvil (Sodinokibi), Netwalker (Mailto), DoppelPaymer e Nefilim.

O ransomware Maze, que surgiu no final de 2019, foi o pioneiro a usar essa tática de dupla extorsão, e fez escola! Ou seja, além de criptografar os dados e exigir o resgate, o Maze também exfiltra (rouba os dados) para que o criminoso possa chantagear a vítima que os dados serão vazados publicamente caso o resgate não seja pago.

Um outro golpe bizarro, que surgiu após o Maze, é que alguns fraudadores mandam mensagens falsas, ameaçando vazar dados das empresas sem que eles tenham sido roubados de verdade.

Para saber mais:

• Paper detalhado da Tempest: Táticas, técnicas e indicadores sobre as principais ameaças recentes de Double Extortion
• Double Extortion: novo ciberataque combina ransomware com vazamento de dados. Como se prevenir? (Tempest)
• Maze: the ransomware that introduced an extra twist
• Data Breach Extortion Campaign Relies on Ransomware Fear
• Maze Promotes Other Gang's Stolen Data On Its Darknet Site
• Ransomware Trends in Q2: How Threat Intelligence Helps (incluído em 05/08)

[Segurança] Um dia é da caça, o outro é do caçador...

Me permitam fazer um post sarcástico comparando duas notícias recentes, relacionada a golpes e fraudes digitais.

No dia 17/07 o jornal Correio Brasiliense publicou uma matéria com o título "Hackers (sic) fizeram desvios do auxílio emergencial pelo aplicativo Caixa Tem", em que um trecho chamou a atenção de vários profissionais de segurança, alegando que a Caixa invadiu grupos de WhatsApp das quadrilhas:

"Ainda de acordo com o executivo (Pedro Guimarães, presidente da Caixa Econômica Federal), a Caixa já bloqueou "algumas contas usadas por esses bandidos" e também já "invadiu grupos de WhatsApp de hackers". "Já temos bastante coisas e vamos passar para a Polícia Federal", avisou."

Fast forward... Dois dias depois, uma matéria publicada no UOL no dia 19/07 destaca que o "Presidente da Caixa diz a contatos ter sido hackeado e troca número de celular". Pela reportagem, é possível entender que ele teve diversos dados pessoais vazados.

Ou seja, pelo jeito rolou alguma vingança pelo comentário do presidente da Caixa.

Vale a pena destacar que uma série de falhas na poupança digital e no aplicativo Caixa Tem permitiram que criminosos acessassem as contas dos beneficiários do auxílio emergencial e realizassem fraudes em saques e pagamentos, o que causou um prejuízo de mais de R$ 60 milhões para a Caixa.

[Carreira] Dicas para o Curriculum

O processo de contratação de emprego, normalmente, passa por um ritual:

1. O candidato toma conhecimento da vaga (ou alguém da empresa convida alguém a participar do processo)
2. O candidato envia seu CV para a empresa
3. A empresa analiza o CV dos candidatos
4. Os candidatos com melhores CVs são convidados para uma primeira entrevista
5. Acontecem algumas entrevistas (cada empresa tem seu processo específico)
6. Candidato é informado se foi aceito ou não

Pelo passo-a-passo acima, fica claro a importância do Curriculum Vitae (CV) no processo de contratação. Ele é o documento que te apresenta para a empresa, e que ela vai utilizar para a primeira filtragem dos possíveis candidatos. Um CV mal feito, que não transmita as suas qualidades, reduzem drasticamente a sua chance de ser chamado para uma entrevista.

Por isso, há muito tempo se fala sobre a importância de ter um CV bem feito. Recentemente eu li um artigo interessante, aonde o autor deu algumas dicas após analizar 22 currículos de candidatos para uma vaga de desenvolvedor.

Isso me inspirou a compartilhar algumas dicas, mescladas com as dicas do artigo:

• Antes de mais nada: lembre-se, o Curriculum deve vender a sua imagem! Deve destacar as suas qualidades e conquistas profissionais;
• Jamais minta no currículo, não invente. As vezes as pessoas validam as informações, e aí você fica queimado;
• A aparência é tudo! Capriche bastante no seu CV: use uma diagramação agradável, moderna, com uso cuidadoso das fontes, negritos, bullets, etc. O próprio entrevistador fica mais motivado quando lê um CV bem feito, com bom visual, claro e objetivo;
• O CV tem que ser curto e objetivo,em geral comenta-se que ele deve ter 2 páginas, no máximo. Mas o grande desafio é manter ele curto e ao mesmo tempo destacar as suas qualidades e sua experiência;
• Cuidado com os detalhes: erros de digitação, nomes mal escritos, etc;
• Se você pretende se candidatar para cargos diferentes (por exemplo, pré-vendas ou consultor de segurança), vale a pena criar duas versões do seu CV, cada uma direcionada para cada vaga. Assim, você pode destacar as suas qualidades e experiências que melhor se adequa a cada perfil profissional. Se tiver apenas uma versão genérica do CV, você não conseguiria dar tanto destaque nas informações que o entrevistador quer ver;
• O LinkedIn é seu aliado! Hoje em dia, o LinkedIn pode ser usado como substituto ao tradicional CV. É cada vez mais comum compartilhar o link para sua página do Linkedin em vez de enviar um documento com o seu CV. Ou também pode ser usado  como um complemento - o LinkedIn pode ter mais detalhes sobre a sua vida profissional, enquanto você deixa o CV mais enxuto e objetivo;
• Destaque suas atividades públicas: voluntariados, blog, repositórios de códigos, palestras realizadas e participação em comunidades. Um entrevistador mais cuidadoso e interessado pode usar essas informações para avaliar você muito positivamente;
• Não coloque foto no seu CV, nem dados pessoais (números de documentos);
• Não coloque pretensão salarial. Guarde essa informação para a negociação;
• Não coloque participação em eventos, a menos que você seja o organizador ou palestrante.

Lembre-se: o empregador tem que analisar dezenas ou centenas de currículos, por isso é fundamental para o seu futuro profissional que o seu CV se destaque no meio da multidão!

[Segurança] Desafios de segurança no Home Office

Um estudo recente da Kaspersky trouxe algumas estatísticas que mostram como as pequenas e médias empresas estão vulneráveis no cenário de trabalho remoto imposto pela pandemia do novo Coronavírus. O estudo entrevistou 6 mil pessoas em 12 países, incluindo o Brasil.

Veja algumas estatísticas apontadas pela Kaspersky sobre o cenário das pequenas empresas brasileiras:

• 58% dos funcionários estão usando seus computadores pessoais, pois não receberam equipamentos corporativos para o trabalho em casa;
• Apenas 44% dos funcionários receberam instruções de segurança para trabalhar de casa;
• 50% dos funcionários começaram a armazenar informações corporativas em seus dispositivos domésticos;
• 44% dos funcionários começaram a armazenar informações corporativas em serviços de armazenamento em nuvem pessoal

O estudo também traz vários números globais que são bem interessantes:

• 46% dos entrevistados nunca tinham trabalhado de casa antes da pandemia;
• 32% dos funcionários dizem estão trabalhando em condições menos confortáveis ​​do que no ambiente de escritório;
• 55% dos entrevistados receberam dispositivos específicos para trabalhar em casa, como computadores e celulares;
• 73% ainda estão usando os mesmos dispositivos com os quais trabalhavam no escritório;
• 52% dos entrevistados têm o parceiro trabalhando em casa, sendo que apenas 11% moram sozinhos;
• 26% dos pesquisados ​​não têm salas separadas para familiares que precisam trabalhar em casa;
• 84% afirmam permitir que outras pessoas em sua casa acessem seu computador pessoal usado para o trabalho;
• 50% das empresas que permitem que os funcionários realizem trabalhos a partir de dispositivos pessoais, não possuem políticas para regulamentar como elas são usadas;
• 73% dos trabalhadores afirmam não ter recebido nenhum treinamento adicional de conscientização de segurança depois que passaram a trabalhar em casa;
• 53% dos trabalhadores estão usando VPN para acessar a rede de seus empregadores;
• 42% dos trabalhadores estão usando contas de e-mail pessoais para trabalhar;
• 53% dos entrevistados estão usando serviços pessoais de compartilhamento de arquivos.

A Kaspersky traz também alguns conselhos para proteger os funcionários trabalhando em home office:

• Se possível, utilize apenas os equipamentos fornecidos pelo empregador;
• Os dispositivos pessoais dos funcionários devem possuir ferramentas de segurança, atualizados;
• Use senha em todos os dispositivos, incluindo celulares e redes sem fio. Altere as senhas de fábrica;
• Use um gerenciador de senhas para criar e gerenciar senhas fortes;
• As redes domésticas devem ser criptografadas, com o roteador configurado para usar o padrão WPA2;
• O uso de uma VPN é fortemente recomendado, e deve ser obrigatório quando estiver conectado a uma rede wifi desconhecida;
• Mantenha cópias de segurança (backups) de todos os dados corporativos;
• Compartilhe com os funcionários uma lista de serviços online confiáveis para armazenar e transferir dados corporativos;
• Realize treinamentos de conscientização de segurança para todos os funcionários
• Os funcionários devem ser informados sobre quem contatar caso tenham algum problema de segurança.

Para saber mais:

• Mais da metade dos brasileiros usa dispositivos pessoais para trabalho remoto
• Estudo "How COVID-19 changed the way people work"
• Como golpistas atacam pequenos e médios negócios

[Cidadania] Vivemos na era da pós-verdade?

Essa já virou uma das minhas TED talks favoritas!

A palestra "Vivemos na era da pós-verdade?", do TEDx da UFPR em Outubro de 2019, foi apresentada pelos fundadores e apresentadores do canal Meteoro Brasil, que fala desde cultura pop até ciência e filosofia. Os palestrantes, identificados como "Cara Mais Simples e Mulher Mais Sábia", discutem de forma criativa sobre a importância de tratarmos fontes numerosas e variadas de informação, e como diferenciar o que é verdade.

O tema da palestra, "pós-verdade", é um substantivo que "denota circunstâncias nas quais fatos objetivos têm menos influência em moldar a opinião pública do que apelos à emoção e a crenças pessoais". Ou seja, e o cenário que vemos diariamente nas redes sociais, aonde palpites e opiniões são mais valorizados do que fatos científicos e estudos estatísticos.

Esse fenômeno, recente, é alimentado pelo chamado "efeito bolha", muito explorado nas redes sociais: os algoritmos de compartilhamento de informação valorizam, para cada pessoa, o conjunto de posts e notícias que estejam em acordo com suas opiniões. Isso reforça as crenças de cada pessoa e desencoraja a discussão e análise dos fatos. Nas redes sociais, quanto mais simples, polêmico e/ou em acordo com a opinião de uma determinada pessoa, maior a chance da informação ser compartilhada e, portanto, maior a chance dela "viralizar".

Um conceito muito interessante que eles expõe é da "Esfera pública de comunicação", aquele pequeno conjunto de assuntos que podem ser discutidas simultaneamente pela sociedade. Como esse é um espaço limitado, um pequeno conjunto de Assunto que conseguimos discutir ao mesmo tempo, acaba surgindo uma priorização das mensagens que conseguem ganhar essa competição pelo interesse público. A visibilidade que os meios de comunicação de massa dão para um determinado tema dependem da capacidade desse tema de gerar debate, de causar "ressonância". O mais interessante é que essa atenção toda é fruto da legitimidade da notícia. MAs a legitimidade não quer dizer que a notícia seja verdadeira - mas sim, se a pessoa que a lê a considera válida ou não. Ou seja, a veracidade não depende da ciência nem da realidade! Por causa desse fenômeno, hoje em dia vemos a mentira ganhar cada vez mais espaço!