CEVIU News - CEVIU Segurança da Informação - 16 de fevereiro de 2026

Um denunciante alega que uma equipe de tecnologia federal clonou indevidamente o banco de dados mestre do Social Security em uma nuvem mal gerenciada , potencialmente expondo dados de identidade de mais de 300 milhões de americanos e possibilitando fraudes de longo prazo . Legisladores exigiram investigações criminais, enquanto as autoridades insistem que os sistemas centrais permanecem seguros.

A operadora móvel holandesa Odido relatou uma violação em seu sistema de contato com clientes, expondo dados de cerca de 6,2 milhões de pessoas. Isso inclui nomes, detalhes de contato, informações bancárias e de identificação, mas não senhas, dados de chamadas ou faturamento. A Odido está notificando as vítimas com mensagens personalizadas, alertando sobre possíveis ataques de phishing, personificação e faturas falsas. ️

O software moderno é montado a partir de serviços de terceiros, pacotes de código aberto e tooling de CI/CD, transformando a cadeia de suprimentos em uma superfície de ataque primária, e não em um detalhe secundário. Ataques como atualizações maliciosas de dependências exploram a confiança implícita em códigos externos e podem comprometer silenciosamente produtos, credenciais e dados de clientes em escala. Diante disso, equipes de produto devem tratar a integridade da cadeia de suprimentos como prioridade máxima. Isso envolve a utilização de proveniência, atestações criptográficas e o framework SLSA para verificar a origem e a forma de construção do software.

Pesquisadores identificaram mais de 300 extensões maliciosas para Chrome, somando 37,4 milhões de downloads, que vazaram histórico de navegação, injetaram iframes e roubaram dados de usuários . Destas, 153 extensões confirmaram a exfiltração do histórico do navegador imediatamente após a instalação. Um relatório distinto da LayerX apontou 30 extensões disfarçadas de ferramentas de IA que compartilham estruturas internas e infraestrutura de backend idênticas ️‍️. Dessas, 15 visavam especificamente o Gmail para extrair conteúdo de e-mails e transmiti-lo a servidores de terceiros . Empresas devem auditar extensões instaladas com base em indicadores publicados, aplicar políticas de allowlisting para extensões e monitorar tráfego de rede anômalo originado de processos do navegador.

A percebida escassez de talentos em cibersegurança é, na verdade, uma lacuna de responsabilidade na liderança. A Marinha, por exemplo, treina jovens de 18 anos para operar reatores nucleares em 18 meses através de programas estruturados, enquanto a indústria de segurança exige requisitos de experiência irrealistas e se recusa a investir no desenvolvimento de talentos juniores. Esta situação é agravada por três falhas principais: uma análise de causa raiz superficial que nunca aborda os problemas subjacentes; dívida técnica não controlada que líderes não conseguem traduzir em risco de negócio; e a promoção de pessoal técnico para cargos de gestão sem treinamento adequado em liderança. Para reverter esse cenário, líderes de segurança devem construir trilhas de desenvolvimento estruturadas , realizar análises pós-incidente rigorosas e defender que a dívida técnica seja tratada como um risco de negócio central , em vez de aceitar falhas recorrentes como inevitáveis.

O serviço de criptografia CoreKMS da Coinbase utiliza Multi-Party Computation (MPC) para proteger dados PII, derivando chaves de criptografia efêmeras sob demanda através de Distributed Key Generation. Este método garante que nenhuma parte individual detenha a chave mestra completa. ️ O sistema emprega AES-GCM-SIV para uma criptografia determinística, autenticada e em nível de campo de dados sensíveis, como SSNs, permitindo a consulta e indexação seguras de registros criptografados no Snowflake sem a necessidade de descriptografar os dados subjacentes. Essa abordagem demonstra uma arquitetura prática para organizações que precisam equilibrar os requisitos de conformidade regulatória, como relatórios de correspondência de dados estaduais, com robustas garantias criptográficas contra o comprometimento de chaves.

A authID lançou uma plataforma de segurança biométrica alinhada ao framework federal Personal Identity Verification (PIV) . O objetivo é proteger concessionárias de energia e infraestrutura crítica, substituindo senhas e tokens físicos por autenticação biométrica para consoles SCADA, contas privilegiadas e acesso de contratados. A plataforma integra IDX para gestão centralizada de identidades de funcionários e terceiros, PrivacyKey para verificação biométrica criptográfica sem armazenamento de dados, e authID Mandate para proteger sistemas de IA baseados em agentes com trilhas de auditoria vinculadas ao usuário. Este lançamento é crucial, dado o aumento de 70% ano a ano nos ciberataques a concessionárias nos EUA e as crescentes preocupações com atores patrocinados por estados, como Volt Typhoon, preposicionando-se em redes de infraestrutura crítica .

Cibercriminosos estão enviando cartas físicas, passando-se por equipes de segurança da Trezor e Ledger, pedindo aos usuários de hardware wallets que completem processos falsos de "Authentication Check" ou "Transaction Check" ao escanear QR codes que levam a sites de phishing. Estes sites são projetados para roubar suas recovery phrases. A campanha provavelmente se beneficia de dados de clientes expostos em violações de dados anteriores da Trezor e Ledger, com domínios de phishing como trezor.authentication-check[.]io exfiltrando as seed phrases enviadas por meio de um endpoint de API de backend. Fabricantes de hardware wallets nunca solicitarão recovery phrases por correspondência, e-mail ou sites, seed phrases devem ser inseridas apenas diretamente no próprio dispositivo de hardware. ️

O Google Threat Intelligence Group (GTIG) publicou descobertas detalhando operações cibernéticas coordenadas por atores patrocinados por estados da China, Irã, Coreia do Norte e Rússia, visando a base industrial de defesa (DIB). As operações se concentram em quatro temas principais: roubo de tecnologia de campo de batalha ligado à guerra Rússia-Ucrânia, direcionamento a funcionários e exploração de processos de contratação, comprometimento de dispositivos de borda por grupos ligados à China e ataques à cadeia de suprimentos por meio de violações de fabricação. Atividades notáveis incluem a exfiltração de dados do Signal e Telegram pelo APT44 em dispositivos capturados na Ucrânia, as campanhas contínuas da Operação Dream Job do Lazarus Group contra alvos aeroespaciais e de defesa, e o Volt Typhoon realizando reconhecimento em portais de login de empreiteiros militares norte-americanos. Diante da natureza persistente e multi-vetorial dessas campanhas, organizações DIB devem priorizar a higiene de mensagens seguras, estratégias de detecção cientes da evasão de EDR e o monitoramento da integridade da cadeia de suprimentos.

SCAM (Security Comprehension and Awareness Measure) é um benchmark open-source da 1Password que avalia se agentes de IA se comportam de forma segura em workflows reais, como abrir e-mails, recuperar credenciais e preencher formulários de login. Ele aborda a lacuna onde modelos que conseguem identificar phishing quando solicitados ainda caem em ataques ao operar de forma autônoma. Testes em oito frontier models revelaram pontuações de segurança variando de 35% a 92%, com todos os modelos apresentando falhas críticas, como inserir credenciais em páginas de phishing ou encaminhar senhas para terceiros . No entanto, a aplicação de um pequeno 'skill file' de segurança reduziu drasticamente as falhas em todos os modelos . Lançado sob a Licença MIT, o benchmark inclui 30 cenários de workplace, um framework de pontuação e tooling de replay de vídeo para apoiar a avaliação da segurança de agentes de IA empresariais.

O grupo de ransomware Green Blood Group violou a infraestrutura nacional de identidade biométrica do Senegal, furtando dados altamente sensíveis, incluindo registros de nascimento e detalhes de carteiras de identidade da maioria dos 20 milhões de residentes do país. O incidente interrompeu a emissão de documentos de identidade, expôs uma governança cibernética fraca e gerou temores de fraudes de longo prazo e desconfiança pública no governo digital.

O OpenSSH 10.1 agora alerta os usuários quando conexões utilizam algoritmos de troca de chaves não-pós-quânticos, incentivando a migração para mlkem768x25519-sha256 (padrão desde a versão 10.0) ou sntrup761x25519-sha512. O objetivo é fortalecer a defesa contra ataques do tipo "store now, decrypt later" .

O Google detectou e bloqueou mais de 100.000 prompts projetados para extrair as capacidades de raciocínio proprietárias do Gemini , visando a destilação de modelos.

A Figure Technology confirmou uma violação de dados após um funcionário cair em um ataque de engenharia social. ️