CEVIU Logo
Voltar

Domínios paralelos do governo dos EUA ligados à Casa Branca levantam alarmes de segurança

Aprofundamento CEVIU

Aprofundamento

O National Design Studio (NDS) não é um departamento de TI comum: criado por ordem executiva em agosto de 2025, opera sob o Escritório Executivo da Casa Branca, fora do alcance de inspetores-gerais e com seus registros selados até 2040 pelo Presidential Records Act. Seus 40 domínios paralelos, incluindo cópias de vote.gov e passports.gov, roteiam tráfego por uma única conta Cloudflare chamada 'loveisaskill', vinculada ao slogan de Joe Gebbia (Airbnb), que atua como Chief Design Officer sem confirmação do Senado. A centralização vai além da estética: Greg Hogan, ex-DOGE, agora administra login.gov, sistema crítico para 100 milhões de usuários, enquanto Akash Bobba, também ex-DOGE, admite não saber quais dados são retidos por novos sistemas de registro eleitoral. Isso replica falhas estruturais do DOGE, que já enfrentou ações judiciais por permitir acesso não auditado a sistemas do Social Security e DHS.

A contradição no TrumpRx é técnica e operacional: usa PostHog para capturar movimentos de mouse, cliques e teclas, dados que, ao serem associados à visualização de medicamentos, configuram informações de saúde protegidas pela HIPAA. A política de privacidade nega coleta de dados médicos, mas não define limites técnicos para essa associação. Pior: os dados são enviados via método que evita bloqueadores de anúncios, contornando controles de privacidade do usuário. A PostHog declara conformidade com HIPAA, mas apenas como processadora, a responsabilidade legal pela coleta e classificação dos dados recai sobre o NDS, que não tem equipe de compliance dedicada nem auditoria externa obrigatória.

O que mudou

Em maio de 2026, a CEVIU reportou vazamentos em portais de terceiros (como o do Reino Unido) e exploração de vulnerabilidades em sistemas legados (KnowledgeDeliver). Agora, o risco mudou de infraestrutura fragmentada para arquitetura centralizada: não é mais um site mal configurado, mas 40 domínios coordenados por uma única entidade sem supervisão, usando ferramentas analíticas em desacordo com suas próprias políticas. O que era rumor sobre 'design federal controlado' virou realidade comprovada: o NDS já redesenha passport.gov e login.gov, e seus domínios usam infraestrutura unificada (Cloudflare) e pessoal com histórico de falhas regulatórias (ex-DOGE). A mudança crítica está na natureza do risco: antes, eram falhas pontuais; agora, é um modelo sistêmico de governança digital sem frentes de verificação.

Por que isso importa

Um único ponto de falha pode comprometer 160 milhões de visitas mensais em 27 mil domínios federais. Se o NDS usar padrões fracos de validação de entrada ou configurações inadequadas de sandbox (como no caso do Zapocalypse, onde os.system rodava livremente), a cadeia de ataque se espalha automaticamente para serviços críticos, login.gov, vistos, benefícios sociais. Além disso, a coleta oculta de dados comportamentais em sites de saúde (TrumpRx) abre caminho para processos civis sob HIPAA, pois a lei exige que dados identificáveis relacionados a tratamento sejam tratados como PHI, mesmo que não sejam declarados como tal. Para empresas brasileiras que interagem com agências federais norte-americanas, isso significa risco de compartilhamento involuntário de dados sensíveis em integrações com APIs desses sites.

Linha do tempo

  1. Criação do National Design Studio por ordem executiva, com mandato de três anos para padronizar 27 mil domínios federais

  2. Descontinuação do Department of Government Efficiency (DOGE), cujos ex-funcionários passaram para o NDS

  3. Exploração da CVE-2026-5426 no KnowledgeDeliver, evidenciando riscos de sistemas legados com configurações hardcoded

  4. Investigação do Drey Dossier revela 40 domínios paralelos do governo gerenciados pelo NDS, com uso de PostHog em TrumpRx em desacordo com sua política de privacidade

Perguntas frequentes

O uso do PostHog no TrumpRx viola a HIPAA?

Sim, potencialmente. A HIPAA classifica como Informação de Saúde Protegida (PHI) qualquer dado que identifique um indivíduo e diga respeito a seu estado de saúde, tratamento ou pagamento. Capturar cliques em nomes de medicamentos + dados de navegação cria perfil de saúde identificável. A PostHog pode ser HIPAA-compatível como processadora, mas o NDS, como controlador, não demonstrou salvaguardas técnicas para evitar essa associação, o que é exigido pela lei.

Por que a conta Cloudflare 'loveisaskill' é um risco de segurança?

Rotear 40 domínios oficiais por uma única conta Cloudflare centraliza o controle de DNS, WAF e certificados TLS. Um comprometimento dessa conta permitiria redirecionamento em massa, injeção de scripts maliciosos em todos os sites ou revogação indevida de certificados, sem precisar invadir cada agência individualmente. É um vetor de ataque de alta eficiência, similar ao que ocorreu no Zapocalypse, mas em escala governamental.

O que diferencia o NDS do DOGE, além do nome?

O DOGE operava como unidade de eficiência administrativa com foco em cortes; o NDS é uma unidade de design e experiência com mandato para remodelar toda a interface digital do governo. Mas ambos compartilham a mesma estrutura de risco: pessoal contratado como 'conselheiros temporários' (sem vínculo ético ou salarial obrigatório), ausência de supervisão independente e cultura de operação opaca. A diferença é que o NDS tem alcance técnico maior, e já está integrado a sistemas críticos como login.gov.

Posso bloquear o rastreamento do PostHog no TrumpRx com ad blockers?

Não de forma confiável. A investigação Drey Dossier confirmou que os dados são enviados via método que contorna bloqueadores, provavelmente usando fetch() com headers personalizados ou envio via iframes com origem confiável. Isso é similar à técnica FROST, que também ignora filtros tradicionais ao explorar tempo de resposta de SSDs. O bloqueio exigiria regras específicas de conteúdo ou desativação manual de JavaScript no domínio.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
04 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser