CEVIU News - CEVIU Segurança da Informação - 17 de junho de 2026

Um cibercriminoso entrou em contato com a iRhythm em 9 de junho alegando ter acessado dados proprietários, informações de saúde de pacientes e dados pessoais coletados via apps de terceiros, e exige pagamento para não divulgá-los. A empresa reforça que seus produtos e sistemas clínicos permanecem operacionais e que não armazena dados de cartões de crédito. Apesar disso, o vazamento em larga escala eleva riscos concretos de phishing, fraude e roubo de identidade médica contra os pacientes afetados.

Um pesquisador de segurança acessou indevidamente o tenant do Microsoft Entra da FIFA apenas ao se cadastrar como agente de jogadores, sem necessidade de privilégios. Com essa conta, visualizou URLs de ingestão RTMP, chaves de transmissão e controles de início/fim de feeds ao vivo. Também pôde editar estatísticas, horários de partidas e dados de comentários em sistemas de transmissão. Após validação com VLC, notificou FIFA, MediaKind, HBS, CISA e FBI. A falha foi corrigida em 24 horas, mas sem reconhecimento oficial.

Uma vulnerabilidade no SDK Python do Google Vertex AI permitia que atacantes registrassem buckets de staging previsíveis, interceptassem uploads de modelos de outros projetos e os substituíssem por modelos maliciosos serializados em pickle, capazes de executar código arbitrário nos containers de serving. A Unit 42 identificou um payload que roubava tokens OAuth e acessava artefatos, logs e metadados dentro do mesmo projeto gerenciado pelo Google. O Google lançou correções parciais na versão 1.144.0 (randomização de nomes) e completas na 1.148.0 (verificações de propriedade). Atualização imediata do SDK e definição explícita de staging_bucket são obrigatórias.

A Aikido Security identificou plugins maliciosos no JetBrains Marketplace que se passam por assistentes de codificação com IA. Ao serem configurados, solicitam a chave de API do usuário, que é enviada imediatamente para um servidor remoto. Alguns oferecem versão paga com chaves pré-carregadas, mas sua origem é suspeita: pesquisadores acreditam que podem vir de contas gratuitas de terceiros, ampliando o risco de vazamento e uso indevido de credenciais.

Sistemas operacionais com IA nativa da Apple e do Google, capazes de interpretar em tempo real o que o usuário vê, ouve e interage (e-mails, voz, calendário, navegação e comportamento do dispositivo), estão migrando a defesa contra engenharia social da vigilância humana para a vigilância sistêmica. As três fraquezas centrais que sustentam phishing, smishing e personificação são: autenticação baseada em credenciais estáticas; contexto fragmentado entre canais, que permite fraudes multicanal invisíveis para apps isolados; e a velocidade dos ataques, que comprimem o tempo de cognição antes da suspeita. Bilhões de agentes de IA persistentes nos dispositivos poderiam não eliminar o engano, mas tornariam a fraude muito mais cara, complexa e menos confiável.

Pesquisadores do Varonis Threat Labs simularam ataques de phishing contra uma instância do OpenClaw conectada a uma caixa de entrada do Gmail com credenciais sensíveis e e-mails corporativos fictícios. Em dois casos críticos, o agente revelou credenciais durante uma simulação de emergência e exportou dados de um CRM, mesmo com perfil de segurança reforçado. Em outros testes, clicou parcialmente em links maliciosos, embora não tenha inserido senhas, evidenciando vulnerabilidades reais em agentes autônomos expostos a engenharia social.

O AWS WAF Bot Control agora permite que editores monetizem acessos de bots de IA diretamente na borda do CloudFront, retornando HTTP 402 Payment Required com manifesto x402. Runtimes compatíveis realizam pagamentos autônomos em USDC via redes como Base e Solana. O sistema identifica mais de 650 tipos de bots, incluindo GPTBot, Claude-Web e Perplexity-Bot, e aplica políticas por tier (verificado ou não) para monetizar, permitir, bloquear ou exigir CAPTCHA. Funciona apenas em Web ACLs vinculadas ao CloudFront, introduzindo um novo vetor de requisição máquina-a-máquina que exige monitoramento contínuo contra abusos.

A AMD removeu silenciosamente o Transparent Secure Memory Encryption (TSME) dos processadores Ryzen de consumo a partir da versão AGESA 1.2.7.0. O flag interno DfIsTsmeEnabled agora retorna FALSE para SKUs de consumo e TRUE apenas nas linhas PRO e EPYC, inviabilizando a proteção contra ataques de cold boot, espionagem em DRAM (snooping) e remoção física de módulos de memória no Windows e dificultando sua detecção no Linux. A mudança foi identificada por usuários após ferramentas de segurança reportarem ausência de suporte à RAM criptografada. A MSI confirmou a restrição exclusiva ao segmento PRO; a AMD ainda não esclareceu se trata de política deliberada ou bug de firmware.

O presidente Trump assinou o NSPM-12 para fortalecer a cibersegurança dos National Security Systems (NSS), que incluem redes militares e classificadas. O memorando restaura o Committee on National Security Systems (CNSS), nomeia o diretor da NSA como National Manager para NSS e autoriza a emissão de diretrizes emergenciais e requisitos mínimos. Agências devem manter inventários atualizados de seus NSS, enquanto o CNSS tem 90 dias para revisar diretrizes, definir roteiros de implementação e descartar políticas obsoletas.

Diante de processos judiciais sobre exposição de menores a conteúdos inadequados, o Roblox implementou um sistema de verificação de idade baseado em IA para regular permissões de chat e acesso a conteúdos. Usuários podem contestar a classificação atribuída, e responsáveis legais podem ajustar manualmente a idade em contas vinculadas, medida que reforça conformidade com exigências regulatórias de proteção infantil e segurança digital.

Pesquisadores descobriram a vulnerabilidade SearchLeak, falha de três estágios no Copilot Search do Microsoft 365, capaz de exfiltrar dados sensíveis indexados pelo assistente, como e-mails, códigos de autenticação multifator (MFA) e documentos empresariais, mediante apenas um clique em um link malicioso. O ataque explora falhas na forma como o Copilot lida com consultas de busca e permissões de acesso a conteúdos indexados, sem exigir autenticação adicional ou interação complexa do usuário.

A Apple está migrando os endereços de retransmissão do Sign in with Apple e do Hide My Email para o subdomínio @private.icloud.com. A mudança, embora técnica, tem impacto direto na privacidade: permite que serviços identifiquem e bloqueiem facilmente todos os e-mails gerados por esses recursos, sem interferir no tráfego legítimo do iCloud. Isso reduz drasticamente a utilidade do Hide My Email como ferramenta de anonimização e proteção contra vazamentos e rastreamento.

O GrapheneOS foi portado integralmente para o Android 17 no dia do lançamento oficial do sistema, alcançando todos os dispositivos Pixel suportados, incluindo as séries 6a, 7, 7a, 8, 10a, 10 e 10 Pro Fold. As versões oficiais estão em fase final de testes e devem ser liberadas em breve. A atualização reforça o compromisso do projeto com segurança avançada e isolamento de processos, mantendo a filosofia de privacidade por design que caracteriza a ROM.