CEVIU News - CEVIU Segurança da Informação - 24 de junho de 2026

ATUALIZAÇÃO (24/06/2026): não é mais rumor, foi lançado. 22 de junho de 2026. A Tata Electronics confirmou um incidente de segurança cibernética em seus sistemas, após o grupo de ransomware "World Leaks" publicar mais de 200 mil arquivos, totalizando cerca de 630 GB de dados, na dark web. Os dados vazados alegadamente contêm documentos proprietários e confidenciais da Apple e da Tesla, incluindo especificações de componentes, esquemas de design e padrões de inspeção de qualidade para placas de circuito de iPhones, bem como desenhos de engenharia relacionados ao "Project Highland" da Tesla (codinome para o Model 3 reformulado) e controladores de porta de carregamento para o Model Y. A Apple está investigando a violação, e a Tata Electronics recebeu uma demanda de resgate, embora a empresa indiana não tenha comentado sobre o pedido. (Rumor original) O grupo de ransomware World Leaks publicou mais de 200 mil arquivos supostamente pertencentes à fabricante indiana Tata Electronics. Os documentos incluem materiais confidenciais da Tesla e da Apple, como especificações de produtos e detalhes técnicos. O pacote também contém e-mails, registros de eventos e cópias em papel de funcionários, incluindo estrangeiros.

A Meta pausou um programa interno de treinamento de IA depois de descobrir que dados sensíveis estavam acessíveis em toda a empresa. O controverso Model Capability Initiative era obrigatório e foi criado para melhorar os modelos da Meta com base nas teclas digitadas e nos movimentos do mouse dos funcionários. O vazamento incluía conversas privadas, dados de desempenho e transcrições.

Pesquisadores da JFrog descobriram uma nova vulnerabilidade no FFmpeg que pode permitir execução remota de código em aplicações que rodem sem ASLR, ou provocar negação de serviço em outras. A falha vem de um heap buffer overflow no tratamento de slices do decoder MagicYUV e pode ser acionada ao abrir arquivos AVI, MKV ou MOV, ao navegar em um diretório que os contenha ou ao executar um workflow automatizado de ingestão de mídia. Qualquer aplicação que use esse decoder popular pode estar vulnerável.

Uma falha local de elevação de privilégio no interface AF_ALG de criptografia do kernel Linux permitia que usuários sem privilégios corrompessem binários em cache, como /usr/bin/su, por meio de uma escrita fora dos limites de 4 bytes e obtivessem root. A Cloudflare verificou quais versões do kernel estavam expostas, confirmou que a detecção comportamental já pegava tentativas de exploração em minutos e vasculhou os logs das 48 horas anteriores em busca de sinais de uso, sem encontrar nada. Em seguida, implantou uma política bpf-lsm baseada em eBPF para restringir os binds de sockets AF_ALG a uma allow-list, usou tracing de AF_ALG em toda a frota para não quebrar usuários legítimos e distribuiu kernels LTS corrigidos por meio da automação normal de reboot.

Charles Ye, Jasmine Cui e Dylan Hadfield-Menell mostraram que LLMs não distinguem de forma confiável seu próprio texto privilegiado em role tags como system e assistant de entradas de usuário não confiáveis, e que os modelos dão mais peso ao estilo de escrita do que ao conteúdo em si. Atacantes exploram essa role confusion anexando instruções de usuário formatadas para imitar blocos internos de raciocínio do modelo, técnica que levou a uma taxa média de jailbreak de 61% contra modelos como gpt-oss-20b. Defensores podem atenuar o problema com destyling, reescrevendo o texto recebido para que ele deixe de corresponder ao formato esperado das role tags, o que reduziu o sucesso do ataque de 61% para 10%. Trate limites de role como contínuos, não como delimitadores confiáveis de confiança, e evite passar texto externo bruto para modelos com aparência de template privilegiado.

A Unit 42 documentou cinco skills maliciosas do ClawHub que passaram pela triagem do VirusTotal e do ClawScan entre fevereiro e maio de 2026, explorando o modelo de execução em linguagem natural do OpenClaw para contornar restrições de runtime por meio de sequestro semântico de instruções, e não por falhas de memória. Entre as táticas observadas estavam iscas de redirecionamento para paste sites que encaminhavam droppers em Base64 para infostealers no macOS, um README.md inflado com 22 MB de lixo para ultrapassar limites de tamanho do scanner e dois esquemas novos de monetização com agentes. Para defesa, a orientação é fazer auditorias linha a linha dos arquivos-fonte das skills, validar a procedência do publisher antes da instalação e monitorar o tráfego de saída em busca de callbacks pós-instalação para endpoints não documentados, cruzando cada conexão externa com a especificação declarada da skill.

A OpenAI expandiu o Daybreak com workflows atualizados do Codex Security, o modelo completo GPT-5.5-Cyber e um programa para parceiros, permitindo que fornecedores de segurança levem esses recursos para dentro de suas próprias ferramentas. O Codex Security agora examina bases de código grandes, valida achados e rascunha patches que se integram a pipelines existentes. Já o Patch the Planet financia a remediação conduzida por especialistas para projetos open source importantes e coordena o trabalho de perto com governos e operadores de infraestrutura crítica.

GitHub alterou o actions/checkout para que workflows que usam pull_request_target e workflow_run deixem de fazer checkout automático de pull requests vindos de forks com refs arriscados, bloqueando por padrão padrões comuns de pwn request. A proteção mira cenários em que código não confiável de fork roda com o GITHUB_TOKEN do repositório base, secrets e cache, uma fraqueza explorada em campanhas como a s1ngularity contra Nx, PostHog, TanStack e kubernetes-el/kubernetes-el. Desenvolvedores devem evitar o uso desnecessário de pull_request_target, preferir pull_request quando possível e restringir ao máximo permissões e caminhos de execução de código não confiável em workflows privilegiados.

As agências Five Eyes divulgaram uma declaração alertando que frontier models capazes de causar impactos devastadores em cibersegurança estão a meses, e não a anos, de distância. As empresas são orientadas a tratar a cibersegurança como uma questão fundamental, e não apenas técnica, e as organizações precisarão se preparar para o surgimento de outros modelos competitivos com Fable e Mythos.

A LastPass informa que um incidente no fornecedor Klue permitiu que um invasor obtivesse tokens OAuth de vários clientes da Klue e, a partir daí, acessasse registros de clientes da LastPass armazenados no Salesforce, incluindo dados de contato e de CRM. Segundo a empresa, o acesso não alcançou o conteúdo dos cofres nem os dados do Gong.

A London Hydro informou um incidente de segurança que expôs dados de contato e de conta de clientes, incluindo números de cobrança, endereços de serviço, planos de preços e dados de medidores. Dados bancários e de identidade emitidos pelo governo não foram afetados.