CEVIU News - CEVIU Segurança da Informação - 2 de março de 2026

O grupo ShinyHunters está despejando registros de clientes da Odido em lotes diários, expondo identificadores sensíveis, detalhes bancários e notas de suporte . Eles ameaçam escalar os vazamentos, que já impactaram mais de um milhão de contas. A polícia holandesa apoia publicamente a postura da Odido de recusar pagamentos de resgate e enfatiza a necessidade de um rápido envolvimento das autoridades e vigilância anti-phishing ️.

O aplicativo iOS da Twitch utiliza chaves Eppo SDK server-side em vez de tokens de cliente, expondo mais de 260 feature flags de produção não ofuscadas através de um endpoint de CDN que pode ser consultado livremente uma vez que uma chave é observada no tráfego. Essas flags revelam o roadmap de curto prazo da Twitch, exibindo IDs hardcoded, codinomes internos e futuros lançamentos como “Elevate Prime 2026”. Isso transforma as feature flags em um feed de inteligência ao vivo sobre o produto, a postura de segurança e os aspectos econômicos internos da empresa.

Uma violação de e-commerce ocorrida em 2025 na Canadian Tire expôs dados de mais de 38 milhões de contas . As informações comprometidas incluem nomes, detalhes de contato, senhas com hash e números parciais de cartão . Menos de 150.000 desses registros continham datas de nascimento completas. Embora sistemas financeiros e transações em lojas não tenham sido afetados, um total de 42 milhões de registros relacionados a este incidente foram adicionados ao Have I Been Pwned.

A ManoMano, marketplace de produtos para casa e jardim (DIY), está notificando aproximadamente 38 milhões de clientes afetados após um acesso não autorizado em um provedor de atendimento ao cliente subcontratado que gerenciava interações baseadas em Zendesk. O ator de ameaças “Indra” afirma ter comprometido dados de 37,8 milhões de contas, incluindo nomes, e-mails, números de telefone e comunicações de suporte.

A AmberWolf divulgou uma vulnerabilidade de RCE no Delinea Secret Server Protocol Handler (versões ≤6.0.3.39) e Connection Manager (versões ≤2.7.1). A falha permitia que a sanitização inadequada do URL handler `sslauncher://` levasse a um servidor malicioso a fornecer nomes de processo e argumentos controlados por atacantes através de dados de launcher criptografados. Isso resultava na execução arbitrária de código em sistemas Windows e macOS quando uma vítima visitava uma página web maliciosa e aceitava um prompt de segurança. O exploit, implementável como um plugin NachoVPN, abusa do fluxo legítimo de troca de chaves para injetar configurações de launcher serializadas que o `RDPWin.exe` executa cegamente via `Process.Start()`. ️ A Delinea corrigiu o protocol handler em 17 de janeiro. Organizações devem atualizar imediatamente e monitorar por processos filhos anômalos gerados pelo `RDPWin.exe`.

Esta parte do guia multipartes do NCSC do Reino Unido sobre a implementação de Zero Trust em uma empresa foca em definir o conceito para além de ser apenas um termo da moda ou um produto específico. O Zero Trust estabelece uma mudança estratégica onde os usuários são continuamente autenticados, em vez de uma autenticação única no início de uma sessão. Isso implica uma abordagem de defesa em profundidade, onde os controles são aplicados em camadas dentro de um sistema e podem operar em conjunto com sistemas existentes ou substituí-los. ️

Pesquisadores descobriram falhas críticas nos jardins inteligentes Gardyn Home e Studio, expondo cerca de 138.000 dispositivos internos a comprometimento remoto não autenticado e acessível via internet. As vulnerabilidades permitiam OS command execution via command injection e utilizavam credenciais de administrador hardcoded no Gardyn IoT Hub e na infraestrutura Azure IoT. Felizmente, as correções foram liberadas e entregues automaticamente.

Muitos produtos de segurança no Windows 10 e 11 utilizam kernel Event Tracing for Windows (ETW) hooks para monitorar a criação de processos e serem notificados sobre atividades potencialmente maliciosas. No entanto, um atacante pode contornar essas verificações explorando uma race condition entre a conclusão da configuração do executive process object pelo kernel e a invocação dos process-creation callbacks. Além disso, atacantes podem empregar legacy APIs para a criação de processos, as quais não acionam os process-creation callbacks, permitindo a execução de código não monitorado.

A Guarda Civil espanhola prendeu quatro supostos membros do grupo "Anonymous Fénix" por realizar ataques de negação de serviço distribuído (DDoS) contra ministérios e instituições públicas do governo. ️

Os enclaves Nitro, introduzidos em 2020, visavam oferecer um ambiente de execução confiável para aplicações sensíveis à segurança. Contudo, o desenvolvimento dessas aplicações se mostrava complexo devido às limitações inerentes a esse ambiente. No ano passado, a AWS lançou o atestado de instância EC2, que estende o enclave de segurança para a instância completa. Essa inovação possibilita mais casos de uso e melhora a usabilidade, embora exija maior esforço para proteger a instância e aumente a complexidade de implantação. ️ Este artigo explora o processo de criação de uma aplicação em uma instância EC2 com atestado, incluindo um workflow do GitHub Actions para construir uma AMI (Amazon Machine Image) endurecida e atestável.

A Novee Security revelou 16 vulnerabilidades zero-day nas plataformas PDF Foxit e Apryse, permitindo ataques de um clique e XSS.

Um pacote NuGet por typosquatting, chamado "StripeApi.Net", se passou pela biblioteca legítima Stripe.net com contagens de download artificialmente inflacionadas (cerca de 180 mil em 506 versões). Ele exfiltrava silenciosamente tokens de API do Stripe , mantendo a funcionalidade completa de processamento de pagamentos para evitar a detecção.