CEVIU News - CEVIU Segurança da Informação - 6 de junho de 2026

Pesquisadores da Token Security descobriram uma cadeia de ataque crítica no ambiente sandbox Python do Zapier: o comando os.system executava livremente, permitindo scraping de tokens STS órfãos do heap Lambda com permissões para ECR e repositórios privados. Imagens foram extraídas via API direta do ECR, contornando o monitoramento do Docker. Tokens NPM de alto privilégio também foram vazados via ARG/ENV em build, viabilizando takeover de contas. A mitigação exige validação de permissões IAM, isolamento de código não confiável, uso de BuildKit secrets, rotação de tokens NPM de CI e monitoramento de egress.

O grupo de ransomware ShinyHunters afirmou ter roubado e divulgado 234 GB de dados da DentaQuest, operadora de benefícios odontológicos, depois que a empresa se recusou a pagar o resgate exigido. Os dados expostos incluem e-mails, nomes, telefones, documentos de identidade, informações de planos de saúde, datas de nascimento e gênero. O serviço Have I Been Pwned confirmou o incidente, apontando 2,6 milhões de registros comprometidos, dos quais 66% já estavam em sua base.

A CVE-2026-23479, falha de use-after-free na função unblockClientOnKey() do Redis, afeta todas as versões stable desde a 7.2.0 e foi classificada com severidade 7.7 (High). O bug permite que atacantes autenticados encadeiem heap leak via Lua, despejo forçado e sobrescrita GOT de strcasecmp() pela function system(), resultando em execução remota de código com privilégios do daemon. Ambientes auto-hospedados devem atualizar imediatamente para as versões 7.2.14, 7.4.9, 8.2.6, 8.4.3 ou 8.6.3, ou restringir comandos CONFIG, @scripting e stream.

A Disruption Week reuniu forças de segurança e big techs para desativar mais de 1,4 milhão de contas fraudulentas, incluindo páginas, contas Microsoft e kits Starlink, vinculadas a esquemas no Camboja, Laos e Birmânia. As operações envolviam tráfico de trabalhadores forçados a aplicar golpes de investimento em criptomoedas. Resultado: 63 prisões e bloqueio de US$ 3,8 milhões em ativos digitais.

A Ultrahuman, fabricante de wearables de saúde, notificou clientes sobre uma violação de dados em seu sistema de análise interno. Invasores acessaram informações como contatos, detalhes de contas, histórico de pedidos e transações. A empresa confirmou que dados financeiros e de saúde não foram comprometidos no incidente.

O preview Mythos da Anthropic identificou uma vulnerabilidade RCE antiga no FreeBSD. O framework AISLE reproduziu a falha em modelos open-weight como Gemma e GPT-OSS, varrendo o subsistema sys/rpc. Modelos detectam o stack overflow em arquivos isolados, mas análises amplas geram falsos positivos. Uma etapa de reachability, filtrando caminhos controláveis pelo atacante, preserva a CVE real e transforma saídas ruidosas em listas tratáveis para revisão humana.

A Push Security identificou uma campanha de malvertising que abusa do recurso de compartilhamento de conversas do ChatGPT. Páginas falsas simulam alertas de suporte da Apple com notificações de falsa interrupção de serviço, induzindo o usuário a baixar um suposto app desktop. O clique redireciona para um site de phishing que imita o portal legítimo e instala um infostealer na máquina da vítima.

Um incidente de segurança ocorrido em 2025 na Universidade Columbia comprometeu 1,8 milhão de números de seguridade social (SSNs), atingindo inclusive pessoas sem qualquer relação com a instituição. A causa: registros de recrutamento e testes armazenados em uma base legada esquecida durante o processo de saneamento de dados. A universidade levou meses para responder aos afetados e agora enfrenta ação coletiva e escrutínio regulatório pela retenção prolongada e indevida de informações pessoais sensíveis.

Pesquisador testou modelos open-weight e o Opus 4.7 na detecção da vulnerabilidade crackaddr em quatro variantes. Com o harness do Claude Code, apenas Opus 4.7 e GLM-5.1 identificaram todas consistentemente. Outros modelos performaram melhor com o IronCurtain, harness desenvolvido para testes de segurança. O salto do GLM-5 para o GLM-5.1 evidencia o papel decisivo do post-training na eficácia dessas ferramentas para pesquisa de vulnerabilidades.

A SafeBreach descobriu o ataque 'Fake Context Alignment': notificações de WhatsApp, Slack e SMS eram usadas para injetar instruções ocultas que o Gemini processava silenciosamente. O exploit permitia controlar dispositivos Google Home, iniciar chamadas no Zoom, falsificar contatos e corromper a memória de longo prazo do assistente. O Google corrigiu a falha em meados de novembro de 2025 com melhorias nos classificadores de segurança.

Um ataque à supply chain da versão Windows do Hola Browser resultou na inclusão de um minerador de Monero não assinado (me.exe). O malware adiciona uma exclusão ao Windows Defender, copia-se para a pasta Program Files como HolaMonitorService.exe e se registra como serviço de inicialização automática (hola_monitor_svc), ativando a mineração sempre que a máquina fica ociosa.