CEVIU News - CEVIU Segurança da Informação - 10 de abril de 2026

Chaves de API do Google embutidas em aplicativos Android agora autenticam no Gemini, expondo recursos de desenvolvedor na plataforma e qualquer conteúdo de usuário carregado. Atacantes podem extrair essas chaves de APKs descompilados para acessar arquivos e documentos em cache, realizar chamadas arbitrárias ao Gemini e consumir cotas de uso.

Agentes de ameaça invadiram a Eurail B.V. em 26 de dezembro de 2025, exfiltrando nomes, números de passaporte, datas de nascimento, IBANs, dados de saúde e detalhes de reservas de viagem pertencentes a 308.777 clientes — incluindo participantes do programa DiscoverEU. Os dados roubados surgiram posteriormente à venda na dark web, com amostras compartilhadas no Telegram. O intervalo de dois meses entre a violação e a notificação às vítimas reflete um cronograma atrasado de análise forense. A Eurail confirmou que não armazena dados de cartões de pagamento ou digitalizações de passaportes. Clientes afetados devem alterar as senhas do aplicativo Rail Planner e de contas vinculadas, monitorar anomalias nas contas e alertar seus bancos sobre potenciais riscos de roubo de identidade.

O fundador da Expmon, Haifei Li, descobriu uma vulnerabilidade zero-day não corrigida no Adobe Reader que tem sido ativamente explorada em circulação desde, pelo menos, novembro de 2025. O ataque explora APIs JavaScript privilegiadas do Acrobat, especificamente util.readFileIntoStream() para exfiltração de arquivos locais e RSS.addFeed() para beaconing de dados roubados e recuperação de scripts maliciosos. Os documentos maliciosos contêm conteúdo em russo relacionado ao setor de óleo e gás, e uma nova variante se conecta a 188.214.34.20:34123, indicando uma campanha de ameaça persistente avançada (APT) que perfila alvos antes de escolher entre payloads de execução remota de código ou de escape de sandbox.

Pesquisas convergentes da CalTech/Oratomic e da divisão Quantum IA do Google reduziram o limiar estimado de qubits para quebrar a criptografia clássica de milhões para apenas 10.000, com uma máquina viável potencialmente operacional antes de 2030 — comprimindo o que era um horizonte de planejamento teórico de duas décadas em uma preocupação ativa de deployment. Operações de "coleta agora, descriptografa depois" e os investimentos quânticos acelerados da China (incluindo o deployment comercial do sistema Huanyuan 1 de 100 qubits) são os principais impulsionadores da ameaça, levando organizações como o Google a acelerar a migração pós-quântica. Equipes de segurança devem tratar a adoção de algoritmos pós-quânticos validados pelo NIST como um programa ativo, e não como um item de roadmap, com urgência particular para dados criptografados de longa duração, infraestrutura de blockchain e quaisquer sistemas onde a rotação de chaves é operacionalmente complexa.

Perturbações geopolíticas — como incidentes marítimos, instabilidade da rede de energia e ciberataques estatais visando a infraestrutura de IA — são agora um gatilho sistêmico e crível para perdas em data centers, estendendo-se muito além da pegada física de um operador. A cobertura de interrupção de serviço e interrupção de negócios contingente (CBI) são os principais mecanismos de apólice em jogo. Contudo, espera-se que as seguradoras contestem as reivindicações, estreitando o escopo de "propriedade dependente" e invocando exclusões de guerra ou cibernéticas onde a atribuição a um ator estatal é alegada. Operadores de data centers devem auditar as provisões de CBI para a profundidade da cadeia de suprimentos, examinar a linguagem de exclusão de guerra e cibernética para exceções de ambiguidade, e enquadrar quaisquer reivindicações ligadas a eventos geopolíticos em torno de especificidades de causalidade antes que as seguradoras estabeleçam a narrativa.

A Access Now e a Lookout expuseram uma campanha de hack-for-hire que visava jornalistas, ativistas e autoridades em todo o Oriente Médio, Norte da África, Reino Unido e, potencialmente, nos EUA. Os atacantes realizaram phishing de credenciais de Apple ID para acessar backups do iCloud e implantaram um spyware chamado ProSpy, disfarçado como Signal, WhatsApp e Zoom. O grupo tem laços com o BITTER APT e, possivelmente, com a Appin, uma empresa indiana de hack-for-hire.

A HackerOne suspendeu novas submissões ao seu Internet Bug Bounty após ferramentas de IA inundarem os programas com relatórios de baixo valor, superando a capacidade dos mantenedores voluntários de triar e corrigir os problemas.

O LinkedIn escaneia o Chrome e outros navegadores Chromium em busca de milhares de extensões ligadas a scraping e ferramentas competitivas. Esta prática desencadeou duas ações coletivas na Califórnia, alegando rastreamento não divulgado, compartilhamento de dados e inferences de perfis sensíveis. A empresa justifica suas ações como defesas antiabuso, citando uma vitória prévia contra a Teamfluence. No entanto, os autores dos processos enquadram a prática como vigilância secreta que ignora o consentimento significativo do usuário e as proteções de privacidade.

Pesquisadores da RSAC conseguiram sequestrar a Apple Intelligence em iPhones compatíveis por meio de um ataque de prompt-injection Neural Exec, utilizando também um truque de sobrescrita Unicode right-to-left. Eles codificaram saídas maliciosas em inglês de forma invertida para contornar os filtros da Apple, resultando na execução de 76 de 100 prompts. Isso incluiu desde respostas abusivas até ações silenciosas, como criar ou renomear contatos, visando ganhar confiança no dispositivo da vítima.

A Censys identificou 5.219 PLCs Rockwell Automation/Allen-Bradley expostos à internet, após um alerta conjunto do FBI, NSA, CISA, EPA, DOE e USCYBERCOM.