CEVIU News - CEVIU Segurança da Informação - 25 de fevereiro de 2026

Um ataque de ransomware contra a gigante de outsourcing Conduent expôs dados pessoais de pelo menos 25 milhões de indivíduos em diversos estados dos EUA, como Oregon e Texas. As informações comprometidas incluem nomes, números de Social Security, dados de seguro saúde e registros médicos. ️

A Anthropic identificou campanhas de distilação em escala industrial conduzidas por DeepSeek, Moonshot e MiniMax. Essas campanhas geraram mais de 16 milhões de interações em aproximadamente 24.000 contas fraudulentas, com o objetivo de extrair as capacidades de raciocínio agentic, uso de ferramentas e codificação do Claude para treinar seus próprios modelos. Os laboratórios empregaram serviços de proxy operando arquiteturas de "hydra cluster" com milhares de contas coordenadas para contornar restrições de acesso regionais. A MiniMax, por exemplo, adaptou suas operações em 24 horas para visar novos lançamentos de modelos, enquanto a DeepSeek focou especificamente na extração de dados de chain-of-thought e alternativas seguras contra censura para consultas politicamente sensíveis. Em resposta, a Anthropic implementou classificadores de fingerprinting comportamental, fortaleceu a verificação de contas e está compartilhando indicadores técnicos com outros laboratórios e autoridades, alertando que modelos ilicitamente destilados removem os safety guardrails de segurança e comprometem os controles de exportação.

O grupo MuddyWater (TA450), ligado ao Irã, lançou a Operação Olalampo , uma campanha de spear-phishing que distribui múltiplas e novas cepas de malware. Isso inclui a backdoor Char, baseada em Rust e utilizando Telegram para C2, a cadeia de loaders GhostFetch/GhostBackDoor e o downloader HTTP_VIP, todos direcionados a organizações no Oriente Médio e África. A Group-IB identificou indícios de desenvolvimento assistido por IA nos handlers de comando do Char, como strings de depuração com emojis que provavelmente não foram sanitizados em segmentos de código gerados por LLM. Os defensores devem usar os IoCs, regras YARA e regras EDR publicados para detectar atividades, além de monitorar implantações não autorizadas do AnyDesk e tráfego C2 via Telegram.

A CNA do kernel Linux agora atribui CVEs a quase toda correção de bug, frequentemente sem pontuações CVSS, e essa decisão desmantelou o modelo clássico de conformidade “aplique patch em qualquer coisa acima de 7.0 em 30 dias”. Equipes de segurança precisam agora escolher entre triagem manual dispendiosa e simplesmente aplicar patches em tudo rapidamente. ️ Bootable containers (bootc) oferecem um caminho intermediário: eles empacotam o sistema operacional completo (kernel, drivers e user-space) como uma imagem de container imutável com atualizações atômicas e rollback automático quando as verificações de saúde falham, o que elimina a ansiedade de reboot que causa fadiga de atualização. A verdadeira mudança é afastar a gestão de vulnerabilidades da triagem de CVSS baseada em planilhas para o scanning com escopo de build-file de imagens mínimas, transformando a aplicação de patches em uma etapa rotineira do pipeline de CI/CD, em vez de um evento manual de alto risco.

Um pesquisador de segurança descobriu que o robô aspirador Romo da DJI não possuía autenticação MQTT, permitindo que qualquer cliente se conectasse aos servidores da DJI e extraísse telemetria de aproximadamente 7.000 dispositivos em 24 países. Feeds de câmera ao vivo, acesso ao microfone, plantas baixas 2D e números de série estavam todos disponíveis. Em menos de 9 minutos, o pesquisador catalogou mais de 6.700 dispositivos e coletou mais de 100.000 mensagens MQTT, revelando layouts residenciais precisos e localizações aproximadas dos dispositivos via geolocalização por IP. A DJI teria corrigido a falha de acesso imediato. No entanto, o problema mais profundo persiste: o canal dispositivo-nuvem confia em qualquer sessão autenticada como um proprietário legítimo, caracterizando uma falha fundamental de autorização em IoT.

A Cloudflare One se torna a primeira plataforma SASE a oferecer criptografia híbrida pós-quântica ML-KEM, em conformidade com padrões, abrangendo todos os principais pontos de entrada e saída, incluindo seu Secure Web Gateway, Zero Trust e casos de uso de WAN. Esta atualização estende a proteção pós-quântica para o Cloudflare IPsec (atualmente em beta fechado) e para o Cloudflare One Appliance (com Disponibilidade Geral na versão 2026.2.0). A medida visa defender o tráfego corporativo contra ataques de "coleta agora, decripta depois", antecipando o prazo do NIST para descontinuar RSA e ECC até 2030. A implementação segue a especificação draft-ietf-ipsecme-ikev2-mlkem, evitando abordagens proprietárias, e está disponível sem custo adicional.

O Dependabot sobrecarrega as equipes com pull requests barulhentos e alertas de segurança enganosos, e em projetos Go, raramente melhora a segurança real. Filippo Valsorda detalha os motivos: os alertas frequentemente não têm relação com o risco real, não oferecem filtragem em nível de pacote ou símbolo, e geram tamanha alert fatigue que as equipes acabam ignorando tudo, inclusive os alertas realmente importantes. Sua configuração recomendada utiliza duas GitHub Actions agendadas como alternativa. A primeira executa o govulncheck para varredura de vulnerabilidades baseada em alcançabilidade (reachability-based). A segunda executa testes diariamente contra as versões mais recentes das dependências para detectar falhas precocemente, sem forçar upgrades constantes. Juntas, elas eliminam o ruído, reduzem drasticamente os falsos positivos e permitem que as equipes levem a sério as descobertas de segurança genuínas. ️

O Chrome 145 transforma a barra de endereços da versão desktop em uma caixa de prompt de IA, impulsionada pelo Gemini . Agora, ela oferece suporte a Deep Search, geração de imagens e consultas conversacionais, tudo acessível através de um novo ícone de 'mais' .

A polícia sul-coreana indiciou dois adolescentes por invadir o sistema de aluguel de bicicletas Ttareungyi de Seul em 2024, expondo dados de 4,62 milhões dos 5 milhões de usuários . As informações vazadas incluíam detalhes de contato e informações pessoais. Investigadores afirmam que a dupla se conheceu no Telegram, realizou o ataque enquanto ainda estava no ensino médio e tinha a intenção de lucrar, embora não haja evidências de que os dados tenham sido vendidos .

O formato KDBX, baseado em XML, acumulou uma dívida técnica séria devido a um "schema sombra" fragmentado, no qual dados de TOTP, passkeys e autofill foram inseridos em atributos personalizados em implementações de clientes incompatíveis. A migração para SQLite com SQLCipher resolveria essa questão, oferecendo escritas em nível de página, menor sobrecarga de memória para cofres grandes, e um schema limpo que trata os tipos de credenciais modernas como cidadãos de primeira classe, em vez de funcionalidades adicionadas posteriormente. A publicação também defende uma reformulação da governança, incentivando KeePassXC e os principais clientes móveis a definir conjuntamente uma nova especificação, em vez de continuar sob um modelo de "ditador benevolente".

O Firefox 148 introduz a padronizada Sanitizer API e o novo método setHTML() para tornar a inserção de HTML não confiável mais segura por padrão, reduzindo o risco de XSS sem grandes reescritas de código. ️

RoguePilot é uma falha no GitHub Codespaces onde prompt injections ocultas em issues sequestram silenciosamente o Copilot, exfiltrando GITHUB_TOKENs privilegiados e viabilizando ataques de cadeia de suprimentos mediados por IA. ️