O Ministério de Ciência e Inovação da Espanha desligou parte de seus sistemas como medida de contenção após um grupo afirmar ter violado a rede e obtido acesso a dados internos. A ação indica resposta a incidente em andamento, com foco em limitar movimentação lateral e possíveis exfiltrações enquanto a extensão do acesso é verificada. Para organizações públicas e empresas, o caso reforça a necessidade de planos de resposta a incidentes com critérios claros para isolamento de ambientes, além de monitoramento de credenciais e trilhas de auditoria para confirmar comprometimento. Também destaca a importância de segmentação de rede e gestão de vulnerabilidades para reduzir o impacto quando há alegações de acesso não autorizado.
Todas as notícias
CEVIU Segurança da Informação
Notícias, pesquisas e ferramentas para profissionais de segurança da informação
245 notícias
O Substack confirmou um incidente de segurança que expôs dados de usuários, incluindo endereços de e-mail e números de telefone. A empresa afirma que não houve acesso a senhas ou informações de pagamento, mas reconheceu que os dados vazados podem ser usados em campanhas de phishing, golpes por SMS e tentativas de takeover de contas via engenharia social. Para empresas e criadores que dependem da plataforma, o risco imediato é o aumento de ataques direcionados (spear phishing) e fraudes de suporte falso, além de possíveis impactos de conformidade e comunicação com titulares. O caso reforça a necessidade de MFA, monitoramento de credenciais e alertas para detecção de tentativas de login suspeitas após incidentes desse tipo.
Um estudo técnico mostra como LLMs podem acelerar tarefas de engenharia reversa e triagem de vulnerabilidades ao investigar um possível use-after-free no CLFS (Common Log File System) do Windows. O autor descreve como usar a IA para resumir trechos de código, levantar hipóteses sobre caminhos de execução, mapear estruturas e guiar a análise até pontos mais promissores do bug. O texto também ressalta limites e cuidados: LLMs podem “alucinar” detalhes, então a validação com debugging, símbolos, análise estática e reprodução controlada continua obrigatória — especialmente quando o objetivo é avaliar explorabilidade e impacto real. Para times de segurança, a mensagem é que IA pode reduzir tempo de pesquisa, mas não substitui método, evidência e verificação rigorosa.
Uma análise prática do AWS Bottlerocket, sistema operacional minimalista da Amazon voltado para executar containers e reduzir a superfície de ataque em ambientes na AWS. O texto detalha decisões de hardening como sistema de arquivos imutável, atualizações atômicas com rollback, componentes reduzidos e separação clara entre o host e as cargas em containers. O autor também discute pontos de atenção para times de segurança e plataforma, incluindo observabilidade e troubleshooting mais restritos, modelo de acesso administrativo diferente de distros tradicionais e implicações para gestão de vulnerabilidades (o que é responsabilidade do SO vs. do runtime/imagens). A conclusão é que o Bottlerocket pode elevar o baseline de segurança em clusters, mas exige adaptação de processos operacionais e de resposta a incidentes.
Ameaças estão explorando a vulnerabilidade React2Shell para comprometer aplicações web e assumir o controle do fluxo de requisições, permitindo o sequestro de tráfego e o redirecionamento de usuários para destinos maliciosos. O vetor envolve a exploração de falhas de execução/injeção no lado do servidor, abrindo caminho para alterações no comportamento da aplicação sem depender do dispositivo da vítima. Para empresas, o impacto vai além de indisponibilidade: o ataque pode viabilizar roubo de credenciais, distribuição de malware, fraude e perda de confiança, especialmente em portais com alto volume de acessos. A recomendação é priorizar correções e mitigação, revisar cadeias de dependências e configurações expostas, além de reforçar monitoramento de anomalias (picos de redirecionamento, mudanças inesperadas em rotas e respostas HTTP) e controles de integridade em ambientes de produção.
A adoção acelerada de agentes de IA em operações corporativas pode estar criando um novo ponto cego de segurança: milhões desses “assistentes” automatizados operam com acesso a dados, ferramentas e credenciais, mas sem controles equivalentes aos aplicados a usuários e aplicações tradicionais. O alerta é que, com permissões excessivas, integrações frágeis e pouca governança, agentes podem ser desviados para executar ações não autorizadas, vazar informações ou ampliar o impacto de um comprometimento. O risco cresce em ambientes com múltiplos conectores (SaaS, APIs, automações e RPA), onde um agente comprometido pode virar um “operador” interno: ler e mover arquivos, acionar fluxos, alterar configurações e até interagir com sistemas críticos. A recomendação é tratar agentes como identidades privilegiadas, com princípio do menor privilégio, segmentação de acesso, auditoria contínua, validação de ações, limites de escopo por tarefa e monitoramento para detectar comportamento anômalo e abuso de ferramentas.
Pesquisadores divulgaram múltiplas vulnerabilidades críticas no n8n, plataforma popular de automação de workflows, e publicaram exploits funcionais, elevando o risco de exploração imediata em ambientes expostos. As falhas podem permitir comprometimento do servidor e execução de ações não autorizadas, especialmente quando instâncias estão acessíveis pela internet ou com configurações inseguras. Para empresas que usam n8n em produção, o cenário exige resposta rápida: aplicar atualizações/correções, revisar exposição externa, endurecer autenticação e segredos (tokens, credenciais de integrações) e monitorar sinais de abuso. Como a ferramenta costuma ter acesso a APIs e dados sensíveis, um comprometimento pode virar pivô para movimentação lateral e vazamento de informações em cadeia.
A vulnerabilidade CVE-2025-22225 no VMware ESXi passou a ser explorada ativamente por grupos de ransomware, elevando o risco para ambientes virtualizados e infraestrutura crítica de empresas. A falha permite que invasores comprometam hosts de virtualização e, a partir daí, ampliem o impacto do ataque ao atingir múltiplas VMs, serviços e backups conectados. Para organizações que operam ESXi, o cenário reforça a urgência de aplicar correções e mitigações disponibilizadas pela VMware, revisar exposição de interfaces de gerenciamento, reforçar segmentação e monitoramento (incluindo logs do hypervisor) e validar a resiliência de backups contra criptografia e exclusão. Em campanhas de ransomware, a exploração de hypervisors costuma acelerar a interrupção operacional e aumentar a pressão por pagamento.
O incidente de segurança na Conduent, fornecedora de tecnologia para governos, ganhou novas proporções após a empresa atualizar o impacto do vazamento: o número de pessoas afetadas cresceu e agora envolve milhões de americanos a mais do que o inicialmente divulgado. A ampliação do escopo indica que a análise forense e a revisão de sistemas e bases de dados atingidas ainda estavam em andamento quando as primeiras estimativas foram comunicadas. Para órgãos públicos e empresas que dependem de prestadores críticos, o caso reforça a necessidade de governança de terceiros (TPRM), segmentação de ambientes, monitoramento de exfiltração e planos de resposta a incidentes com notificações escalonáveis — já que a reclassificação do impacto costuma ocorrer quando se identifica movimentação lateral, múltiplos repositórios acessados ou logs incompletos que atrasam a delimitação do que foi exposto.
Pesquisadores detalham como ataques de “authentication downgrade” exploram fluxos de login e decisões de fallback para forçar uma aplicação a aceitar um método de autenticação mais fraco — ou até dispensar o segundo fator — mesmo quando o MFA está habilitado. Em vez de “quebrar” o MFA diretamente, o atacante manipula etapas como seleção de método, recuperação de conta, migração de protocolos e integrações (SSO/IdP), aproveitando inconsistências entre cliente e servidor, validações parciais e caminhos alternativos pouco testados. O alerta para empresas é que “MFA habilitado” não é garantia de proteção se houver rotas de autenticação legadas, exceções por dispositivo/rede, ou mecanismos de compatibilidade que permitam rebaixamento de segurança. A recomendação técnica passa por mapear e testar todos os fluxos de autenticação (incluindo fallback e recovery), eliminar métodos fracos/legados, exigir verificação forte em qualquer mudança de fator ou sessão, e instrumentar logs/telemetria para detectar tentativas de rebaixamento e anomalias de login.
O grupo de ransomware Everest afirmou ter exfiltrado cerca de 90 GB de dados explorando a exposição de sistemas legados da Polycom, frequentemente usados em ambientes corporativos para comunicação e videoconferência. Segundo a alegação, o material roubado incluiria arquivos internos e informações potencialmente sensíveis, elevando o risco de extorsão dupla (criptografia + vazamento) e de impacto reputacional. O caso reforça um problema recorrente em segurança corporativa: a manutenção de equipamentos e softwares antigos em produção, muitas vezes sem patches, inventário adequado e segmentação de rede. Para empresas, o incidente destaca a necessidade de gestão de vulnerabilidades e de ciclo de vida de ativos (EOL/EOS), além de controles de acesso, monitoramento e resposta a incidentes para reduzir a superfície de ataque em sistemas de comunicação.
Um pesquisador detalhou uma vulnerabilidade cross-tenant no Google Cloud Apigee que poderia permitir o cruzamento indevido de limites entre locatários, com potencial de acesso não autorizado a recursos e dados de outras organizações. O caso reforça um ponto crítico em serviços SaaS e de API management: erros de isolamento (tenant isolation) podem transformar uma falha lógica em impacto de confidencialidade e integridade em escala. O artigo descreve o processo de descoberta e exploração, destacando como combinações de permissões, IDs/recursos e validações insuficientes podem abrir caminho para enumeração e abuso de APIs administrativas. Para empresas, o alerta é revisar controles de acesso, monitorar operações sensíveis no plano de gestão e manter programas de detecção e resposta focados em atividades anômalas em ambientes multi-tenant — além de acompanhar correções do fornecedor e validar mitigação com testes de segurança.
A Mozilla anunciou que o Firefox vai oferecer uma configuração única para desativar todos os recursos de IA do navegador, permitindo que usuários desabilitem de forma centralizada funcionalidades baseadas em IA que vêm sendo adicionadas ao produto. A mudança busca dar mais controle e transparência sobre o uso desses recursos, reduzindo a necessidade de desligar opções separadamente e atendendo a preocupações de privacidade e governança em ambientes corporativos, onde políticas de segurança e conformidade podem exigir a desativação de funções de IA por padrão.
A Apple anunciou um novo recurso de segurança para iPhone e iPad que reduz a capacidade de redes de celular coletarem dados de localização precisa do dispositivo. A mudança busca diminuir o rastreamento em nível de operadora, atacando um vetor historicamente sensível de privacidade — o acesso a metadados de mobilidade — e dificultando usos indevidos, como correlação de tráfego e monitoramento sem consentimento. Para empresas e governos, o impacto é duplo: reforça a proteção de dados pessoais em cenários de risco (executivos, jornalistas, equipes de campo) e eleva o padrão de “privacy by design” no ecossistema móvel, pressionando operadoras e fornecedores a revisarem práticas de coleta, retenção e compartilhamento de dados de localização, além de requisitos de conformidade e auditoria.
Pesquisadores e vítimas relataram que o ransomware Nitrogen está “quebrado”: após criptografar os dados, o próprio processo de recuperação falha, e nem mesmo os operadores conseguem fornecer uma descriptografia funcional. Na prática, isso transforma o ataque em destrutivo — o pagamento pode não trazer os arquivos de volta, elevando o risco operacional e o impacto em continuidade de negócios. O caso reforça a necessidade de tratar ransomware como cenário de indisponibilidade permanente: manter backups offline/imutáveis testados, planos de resposta a incidentes com restauração priorizada e telemetria para conter movimentação lateral. Também é um alerta para gestão de vulnerabilidades e hardening, já que a “ineficiência” do criminoso não reduz o dano — apenas elimina qualquer chance de recuperação via chave.
O artigo defende que segurança e velocidade de entrega não são forças opostas: quando a segurança é construída como parte do processo de engenharia — e não como um “gate” no fim — ela reduz retrabalho, incidentes e ciclos de aprovação, acelerando o fluxo de mudanças com menos risco. A proposta passa por integrar controles ao pipeline (CI/CD), automatizar verificações e tratar segurança como requisito de produto, com padrões reutilizáveis e “guardrails” que orientam times sem travar a entrega. Na prática, o texto enfatiza a necessidade de uma abordagem baseada em risco e em engenharia de plataformas: centralizar capacidades como gestão de vulnerabilidades, revisão de dependências, segredos, políticas como código e telemetria, oferecendo caminhos seguros por padrão. Para empresas, o impacto é direto em conformidade, redução da superfície de ataque e previsibilidade operacional, ao transformar segurança em uma função escalável que habilita autonomia dos times e diminui o custo de falhas em produção.
Uma análise técnica mostra como a “consistência eventual” do AWS IAM pode ser explorada como janela de oportunidade para manter persistência após mudanças de permissões. Em cenários específicos, alterações como remoção de políticas, revogação de privilégios ou atualizações em roles e grupos podem levar um tempo para se propagar completamente, criando um período em que ações ainda podem ser autorizadas de forma inesperada. O conteúdo detalha como essa defasagem pode impactar controles defensivos e resposta a incidentes em ambientes AWS, especialmente em operações automatizadas e contenção de credenciais comprometidas. A recomendação prática é tratar revogações como processos que exigem verificação e monitoramento contínuos (logs, validação de permissões efetivas e testes de acesso), além de reduzir superfícies de ataque com menor privilégio, segmentação e detecção de atividades anômalas durante e após mudanças no IAM.
O Claude Code mantém um histórico detalhado das interações — incluindo prompts, respostas e eventos de execução — que pode ser exportado como “transcrições”. O post explica onde esses registros ficam, como acessá-los e por que eles são úteis para rastrear decisões do assistente, reproduzir sessões e entender o que mudou entre execuções. Do ponto de vista de engenharia e segurança, as transcrições viram um artefato de auditoria: ajudam a investigar incidentes, validar comportamento de automações e documentar uso de IA em fluxos de desenvolvimento. Ao mesmo tempo, exigem governança, porque podem conter segredos, dados sensíveis e contexto de sistemas internos — reforçando a necessidade de políticas de retenção, mascaramento e controle de acesso.
A Step Finance afirmou que o roubo de cerca de US$ 40 milhões em criptomoedas ocorreu após a invasão de dispositivos de executivos, o que teria permitido aos atacantes acessar credenciais e avançar na cadeia de comprometimento até viabilizar as transferências indevidas. O caso reforça como endpoints de alta confiança (como os de lideranças) viram alvo prioritário para sequestro de sessão, roubo de chaves e abuso de permissões. Para empresas do setor cripto e fintech, o incidente destaca a necessidade de controles mais rígidos em contas privilegiadas e dispositivos corporativos: MFA resistente a phishing, gestão de chaves e carteiras com segregação de funções, monitoramento de anomalias em transações e resposta rápida a sinais de comprometimento de endpoint, reduzindo o impacto quando um único dispositivo vira ponto de entrada.
O mantenedor do sudo — ferramenta essencial em sistemas Unix e Linux para execução de comandos com privilégios elevados — alertou que o projeto precisa de mais suporte para continuar operando com qualidade. Após mais de três décadas cuidando do utilitário, ele aponta limitações de tempo e recursos para dar conta de tarefas como triagem de bugs, correções, revisões de segurança e atendimento a mudanças nas distribuições. Para empresas e governos, o recado é direto: dependências críticas de infraestrutura também viram risco operacional e de segurança quando ficam concentradas em poucos mantenedores. Falhas ou atrasos na manutenção do sudo podem impactar políticas de privilégio mínimo, auditoria e resposta a incidentes, reforçando a necessidade de investimento em software aberto, processos de gestão de vulnerabilidades e apoio estruturado a projetos fundamentais da cadeia de suprimentos.