Uma investigação da NBC News revelou que o Grok continua criando deepfakes sexualizados de celebridades e outras pessoas sem consentimento, apesar do compromisso do X em combater essa prática após repercussão pública e investigações governamentais.
CEVIU News
As melhores notícias de tecnologia, curadas diariamente para quem vive tech.
592 notícias encontradas
Uma nova auditoria independente, realizada pela empresa de privacidade webXray, revelou que Google, Microsoft e Meta continuam a rastrear usuários mesmo após a desativação explícita sob leis de privacidade como a CCPA. A auditoria analisou mais de 4.000 websites populares nos EUA e descobriu que 55% deles ainda configuram cookies de publicidade, apesar dos visitantes ativarem as proteções de privacidade.
Um autor realizou engenharia reversa no protocolo RPPairing da Apple, que é utilizado para estabelecer um túnel seguro para dispositivos iOS 17+ pela rede, empregando o recurso Remote Pairing.
A pesquisa do Google revisou a linha do tempo da ameaça quântica, descobrindo que a criptografia de curva elíptica poderia ser quebrada com apenas 1.200 qubits lógicos. Isso levou tanto o Google quanto a Cloudflare a antecipar suas estimativas de "Q-day" para 2029. O foco da indústria em criptografar dados em trânsito tem obscurecido um risco mais urgente: autenticação e certificados. Nesses casos, uma única chave comprometida e vulnerável a ataques quânticos pode permitir acesso total ao sistema e transformar pipelines de atualização de software em vetores de RCE. Empresas são aconselhadas a iniciar inventários de "crypto-agility" agora e tratar a migração PQC (Post-Quantum Cryptography) como um fluxo de trabalho dedicado, separado das operações normais de segurança, considerando que migrações em larga escala podem levar anos.
A Avaliação de Risco de Segurança de Código do GitHub é um scan CodeQL gratuito e sem configuração, cobrindo até 20 repositórios ativos. Ele identifica vulnerabilidades por severidade, linguagem e classe de regra, além de indicar a elegibilidade para o Copilot Autofix. Combinada com a Avaliação de Risco de Segredos já existente, administradores de organização e gerentes de segurança nos planos Enterprise Cloud e Team agora têm acesso a um dashboard unificado de exposição de segredos e código a partir de um único ponto de entrada, com os minutos do GitHub Actions excluídos da cota.
🤖
Testes de IA Mythos do Governo Britânico Ajudam a Distinguir Ameaças Reais de Hype em Cibersegurança
O modelo Mythos Preview da Anthropic foi submetido a testes do UK AI Security Institute em tarefas de capture-the-flag e em um ambiente de exfiltração de dados de rede de 32 etapas, denominado “The Last Ones”. Nele, o Mythos se tornou o primeiro sistema de IA a completar a cadeia completa em algumas execuções, alcançando uma média de 22 etapas, contra 16 do Claude 4.6. No entanto, o sistema falhou em um cenário mais desafiador de usina de energia, o “Cooling Tower”, e operou em ambientes sem defensores ativos ou penalidades de detecção realistas.
A Breakglass Intelligence recuperou a cadeia de ataque Kimsuky (APT43) completa de três estágios após a descoberta do C2 em check[.]nid-log[.]com com a listagem de diretórios ativada. Isso expôs um CHM dropper que encadeia hh.exe → PowerShell → certutil → wscript em um payload de reconhecimento VBScript sem arquivo (bootservice.php), uma ponte PowerShell (checkservice.php) e um keylogger completo com monitoramento de área de transferência e exfiltração randomizada de 100-140 minutos via multipart POST para finalservice.php. Pela primeira vez, foram publicados dois novos endpoints (checkservice.php, finalservice.php), o mutex Global\AlreadyRunning19122345, User-Agents com erros de digitação (Chremo, Edgo) e um mapa de infraestrutura de 79 domínios em 5 IPs abrangendo DAOU Technology e LightNode, com links de campanhas cruzadas para o cluster udalyonka/uncork[.]biz previamente documentado. Defensores podem procurar por requisições HTTP para /bootservice.php?tag=&query=*, respostas contendo “Million OK !!!!”, tarefas agendadas chamadas “Edge Updater” em intervalos de 60 minutos (PT60M), e escritas de Office_Config.xml em %APPDATA%\Microsoft\Windows\Templates.
A Wiz mapeia o modelo de ameaças do GitHub Actions em três classes de ataque principais: configurações incorretas de pull_request_target (a classe "Pwn Request", explorada no comprometimento da cadeia de suprimentos do Trivy), onde autores de PRs de fork manipulam artefatos em checkout para obter execução com segredos da branch base; injeção de script via valores de contexto controlados pelo usuário não sanitizados, como github.event.issue.title ou github.head_ref, injetados em blocos run (a causa raiz do incidente Ultralytics/YOLO XMRig); e ações de terceiros comprometidas, ilustradas pelo ataque tj-actions, que encadeou quatro comprometimentos de ações sequenciais para atingir a Coinbase em 22.000 repositórios afetados. As defesas incluem evitar pull_request_target sempre que possível, vincular todas as entradas controladas pelo usuário a variáveis de ambiente intermediárias antes da execução do shell, e fixar ações de terceiros a commit SHAs em vez de tags mutáveis.
Após uma demanda de extorsão pelo grupo de ransomware Shiny Hunters, a McGraw-Hill confirmou que sua instância do Salesforce foi comprometida. A McGraw-Hill alega que os dados roubados eram apenas uma quantidade limitada de dados não sensíveis que não incluíam SSNs, informações financeiras ou dados de estudantes. Em contrapartida, o Shiny Hunters afirma que os dados incluem 45 milhões de registros, os quais contêm PII.
Um plugin de navegador barato infectou máquinas Windows e executou PowerShell para desativar antivírus, interromper atualizações e permanecer oculto usando tarefas agendadas e WMI. Ele armazenou futuro malware em pastas que o Microsoft Defender ignora por padrão. Um único domínio de atualização não registrado poderia ter permitido a um atacante injetar código silenciosamente em cerca de 25.000 computadores em 124 países, incluindo redes de OT, governamentais, de saúde e de grandes empresas.
Uma restrição `__builtins__: {}` ausente em um sandbox `Python exec()` de uma plataforma SaaS permitiu que um pesquisador injetasse código arbitrário via uma mutação `GraphQL createUserDefinedFunction`, alcançando RCE dentro de um container Google App Engine rodando Python 3.13. A partir daí, um SSRF para o serviço de metadados do GCP em 169.254.169.254 forneceu um JWT OIDC assinado para a service account de produção, resultando em uma completa tomada de controle da identidade na nuvem. Para defesa, as organizações devem isolar o código executado por usuários com `{'__builtins__': {}}`, bloquear o acesso ao endpoint de metadados de ambientes de código de usuário na camada de rede, e isolar a execução em micro-VMs de confiança zero, como Firecracker ou gVisor.
Atacantes registram contas gratuitas n8n cloud, criam URLs de webhook em *.app.n8n.cloud e incorporam esses links em e-mails de phishing que se passam por documentos compartilhados. Quando as vítimas clicam, fluxos de trabalho impulsionados por JavaScript servem CAPTCHAs, distribuem instaladores de malware e fazem deploy de ferramentas RMM modificadas como Datto ou ITarian para persistência e acesso C2.
A OpenAI está expandindo seu programa Trusted Access for Cyber para milhares de defensores verificados e introduzindo o GPT‑5.4‑Cyber, um modelo permissivo ajustado para tarefas defensivas como engenharia reversa de binários.
A Google está migrando o parser DNS do modem do Pixel 10 de C/C++ para Rust. O objetivo é reduzir bugs de memory-safety em um componente de alto risco e acessível remotamente. A equipe selecionou o crate DNS hickory-proto, adicionou suporte no_std e o integrou via Pigweed e builds diretos do rustc, resolvendo conflitos de tamanho de código, alocador, panic e símbolos. O parser em Rust agora gerencia as respostas DNS, reutilizando estruturas de dados C e callbacks existentes.
A equipe de Pesquisa de Ameaças da Socket identificou 108 extensões maliciosas do Chrome, com aproximadamente 20 mil instalações, operando como uma campanha coordenada de MaaS (Malware-as-a-Service) sob uma infraestrutura C2 compartilhada em cloudapi[.]stream. Dessas, 54 extensões coletam identidades Google OAuth2 via chrome.identity.getAuthToken, uma exfiltra ativamente sessões do Telegram Web a cada 15 segundos, e 45 contêm um backdoor universal loadInfo() que abre URLs especificadas pelo operador a cada inicialização do navegador. Todas as cinco identidades de editor remontam a apenas dois números de projeto do Google Cloud, e o backend do C2 executa um CMS Strapi com um portal de pagamento, confirmando que as identidades são vendidas como um serviço. Defensores devem bloquear cloudapi[.]stream e top[.]rodeo no perímetro da rede, escanear os pacotes das extensões em busca do padrão user_info/infoURL/chrome.tabs.create e sinalizar qualquer extensão que combine a permissão de identidade com regras de declarativeNetRequest que removem os cabeçalhos CSP.
Uma falha crítica, CVE-2026-5194, na biblioteca wolfSSL permite que atacantes submetam certificados forjados com digests subdimensionados que conseguem passar pela verificação de assinatura ECDSA, DSA, ML-DSA, Ed25519 e Ed448. Isso ocorre devido à ausência de checagens adequadas de tamanho de hash/digest e OID, afetando mais de 5 bilhões de dispositivos e aplicações. A vulnerabilidade foi corrigida no wolfSSL 5.9.1, lançado em 8 de abril. Equipes que utilizam firmware de fornecedores ou builds empacotados por distribuições devem aguardar comunicados de seus fornecedores, em vez de presumir que a correção upstream já cobre suas instalações.
A RCI Hospitality descobriu em 23 de março que um bug de Insecure Direct Object Reference (IDOR) em um servidor IIS na RCI Internet Services expôs dados de diversos contratados independentes, a partir de 19 de março. Os atacantes acessaram nomes, datas de nascimento, detalhes de contato, números de seguro social e números de carteira de motorista, contudo, sistemas de clientes ou financeiros não foram comprometidos.
O Omnistealer é um novo infostealer que incorpora código de preparação criptografado diretamente em transações nas redes TRON, Aptos e Binance Smart Chain. Ele explora a natureza "append-only" dos livros-razão públicos para criar uma infraestrutura C2 que os defensores não conseguem desativar. Distribuído por meio de ofertas de emprego freelancer falsas no LinkedIn/Upwork que apontam para repositórios GitHub trojanizados, o malware tem como alvo mais de 10 gerenciadores de senhas, mais de 60 carteiras de criptomoedas baseadas em navegador, navegadores principais e credenciais de armazenamento em nuvem. Pesquisadores estimam cerca de 300.000 credenciais comprometidas, abrangendo empresas financeiras, fornecedores de defesa e entidades governamentais dos EUA. As organizações devem aplicar políticas de sandbox para avaliar código de terceiros, bloquear a execução de diretórios graváveis por usuários e monitorar conexões de saída para endpoints RPC de blockchain como um canal C2 emergente.
Pesquisadores concederam ao OpenAI Codex acesso a um shell dentro de um processo do navegador de uma Smart TV Samsung, fornecendo também o código-fonte do firmware KantS2 correspondente e um toolchain controlado. O Codex auditou drivers de kernel Novatek ntk* expostos, utilizou /dev/ntksys como um primitive de physmap validado via /dev/ntkhdma, reconstruiu as faixas de RAM a partir dos boot args, e então localizou e corrigiu as estruturas de cred na memória física para transformar o contexto do navegador em um shell de root na TV em funcionamento.
Andrew Lock aprimora a ferramenta Docker sandbox sbx, demonstrando como incorporar toolchains pré-instaladas em imagens OCI customizadas. Isso elimina reinstalações por sessão e mantém os agentes de IA isolados em microVMs com acesso restrito ao sistema de arquivos e um proxy de rede que injeta credenciais sem expô-las ao agente. Para equipes que necessitam de uma imagem base não padrão, Lock fez engenharia reversa na estrutura da camada docker/sandbox-templates para transplantar a estrutura do sandbox para uma distro arbitrária, exemplificado com uma imagem Debian que corresponde ao ambiente de build do Datadog .NET SDK. O isolamento da instalação do Claude Code em seu próprio estágio de build multi-stage permite atualizações rápidas de versão via --no-cache-filter sem a necessidade de reconstruir a imagem completa.