Resultados de busca

Em 2025, a cibersegurança deixou de ser “um jogo de exploits” e passou a ser, cada vez mais, "um jogo de escala" . A inteligência artificial entrou de vez no campo não só como tecnologia de defesa, mas como um acelerador para ataques mais rápidos, mais baratos e mais convincentes. Ao mesmo tempo, o ransomware seguiu amadurecendo como indústria, com extorsão, vazamento de dados e exploração de terceiros se tornando parte do modelo operacional de muitos grupos criminosos. O resultado foi um cenário mais barulhento, mais imprevisível e mais desgastante para as equipes de segurança, que precisaram extrair sinal em meio a um volume crescente de alertas, riscos e decisões. Para 2026, a tendência é clara: "A automação vai deixar de ser suporte e virar protagonista" . Agentes de IA devem começar a operar dentro de SOCs, pipelines de TI e fluxos de negócio trazendo ganhos reais de velocidade, mas também novos riscos: prompt injection mais “industrializado”, modelos conectados a fontes externas (RAG) com possibilidade de vazamento e envenenamento, e o desafio de tratar agentes como identidades digitais com privilégios e rastreabilidade. Em paralelo, a pressão por redução de superfície de ataque, segurança de cadeia de suprimentos e resiliência operacional aumenta e, em alguns setores, o Zero Trust tende a migrar de boa prática para exigência de compliance. Neste relatório, a CyberSecBrazil organiza o que 2025 ensinou e o que 2026 deve cobrar, traduzindo tendências em ações práticas. A proposta é simples: transformar previsões em um plano de execução com foco em governança de IA, fundamentos operacionais (least privilege, patching contínuo, exposição), inteligência acionável, e preparo real para incidentes que não chegam mais “devagar”. Visão executiva O ano de 2025  consolidou três movimentos que mudaram o “ritmo” da segurança: crescimento do uso de IA por atacantes e defensores , amadurecimento do modelo de extorsão (ransomware + vazamento + pressão)  em escala industrial, e elevação do papel de Threat Intelligence (CTI)  para decisões estratégicas (investimentos, riscos e priorização). Para 2026 , a tendência dominante é que agentes de IA  deixem de ser “feature” e virem atores digitais operacionais : exigindo governança, identidade, telemetria e controles “secure-by-design”, enquanto o crime mantém foco em extorsão , engenharia social aumentada por IA  e exploração de pontos de falha sistêmicos  (terceiros, supply chain, infraestrutura). Como foi 2025 IA deixou de ser “futuro” e virou multiplicador de ataques: Em 2025, relatórios de mercado reforçam que a IA baixou a barreira de entrada  e ajudou atacantes a escalar volume e sofisticação, criando pressão por “encontrar sinal no ruído” e evitar burnout das equipes. Extorsão em escala: ransomware + vazamento como ecossistema maduro A extorsão permaneceu como uma das categorias mais disruptivas, com sinais claros de maturidade do ecossistema: 2.302 vítimas em sites de vazamento (DLS) no Q1 2025 , o maior trimestre desde o início do tracking (2020), com grupos explorando terceiros  e zero-days  para atingir volume. CTI ganhou status “core” e mais estratégico O CTI se fortaleceu: 76%  das organizações pesquisadas investem US$ 250 mil+ por ano  em threat intelligence; e 65%  dizem que CTI influencia decisões de compra de tecnologia; 58%  usam em avaliação de risco do negócio. A consolidação também apareceu forte: 81%  planejam consolidar fornecedores de CTI e 91%  pretendem aumentar investimento em 2026 (não como corte, mas como priorização). Previsões e prioridades para 2026 (o que mais deve importar) “Agentic SOC” e identidade para agentes de IA": A previsão para 2026 é a adoção acelerada de agentes de IA  executando workflows e decisões e isso muda o desenho de segurança porque muitos controles não foram pensados para “operadores não-humanos”. A expectativa é tratar agentes como identidades digitais distintas , com least privilege , just-in-time , e cadeia de delegação  (“agentic identity management”). Em paralelo, o SOC tende a evoluir para um modelo em que analistas direcionam agentes , recebendo alertas já com sumário, decodificação e contexto para decidir e automatizar contenção mais rápido. Prompt injection e ataques diretos a sistemas de IA: O Google Cloud Cybersecurity Forecast 2026 aponta aumento relevante de prompt injection  e ataques direcionados a sistemas de IA corporativos, migrando de PoCs para campanhas de exfiltração  e sabotagem . Extorsão continua (e pior): mais criatividade, mais coerção, mais zero-day: A tendência para 2026 é mais ransomware e extorsão , com aumento de estratégias de acesso inicial via vishing  e engenharia social para contornar MFA, além de uso crescente de zero-days  em campanhas amplas. Planejamento 2026: resiliência, exposição e supply chain como “pilares” O guia de planejamento do Gartner para 2026 coloca foco em: Redução de attack surface  como parte central de defense-in-depth (incluindo CTEM ) Maturidade de software supply chain security  e secure-by-design (incluindo apps de IA) Controles para consumo de IA  (treinamento + controles técnicos para evitar vazamento de dados) SecOps augmentation  (incluindo agentes no SOC) Adoção de padrões: security-by-design, zero trust e CSMA   Previsões de mercado (Forrester): IA “cobrança por resultado” e corrida quântica: Algumas apostas públicas do ecossistema de previsões 2026 da Forrester: 25% dos CIOs  serão chamados a “salvar” iniciativas de IA lideradas pelo negócio que falharem (governança e execução). Quantum security : gasto deve exceder 5%  do orçamento total de segurança de TI, acelerando migração/consultoria/inventário criptográfico. O que eu recomendaria como “linha de ação” (bem pragmático) Controles mínimos para IA e agentes (90 dias): Catálogo de uso de IA  (quem usa, onde, com quais dados) + política de dados (o que pode/ não pode). (Alinha com controle de consumo de IA). Identidade para agentes : contas dedicadas, JIT, escopos mínimos, trilhas de auditoria e delegação. Guardrails para LLM : sanitização de entrada/saída, confirmação humana para ações de alto risco, e detecção de prompt injection. Redução de exposição e resiliência (até 6 meses) Rodar um programa de CTEM  e attack surface reduction com backlog priorizado. Reforçar supply chain  (SBOM onde possível, validações, gestão de dependências e terceiros críticos). Preparar-se para mudanças do mercado de fornecedores (consolidação) sem criar pontos únicos de falha. CTI como motor de decisão (contínuo) Priorizar integrações e redução de overload (as dores mais citadas). Fazer CTI “sair do SOC” e ir para GRC/IAM/fraude , como tendência de integração de workflows. Matriz “2025 aprendizados → 2026 ações” Aprendizado de 2025 Ação prioritária em 2026 Primeiros passos (30–60 dias) KPI de acompanhamento IA virou multiplicador de ataque  (mais volume/sophisticação e mais “ruído”) Governança + controles de IA  (uso corporativo, dados, auditoria) Inventariar “AI use cases” e onde dados sensíveis entram/saem; criar política de uso e classificação para IA % de use cases mapeados; incidentes de “shadow AI”/mês SOC tende a virar “Agentic SOC”  (analista orquestra agentes) SOC com automação orientada por agentes + SOAR Definir 5 playbooks para automação (phishing, credenciais, malware, exfil, ransomware) e colocar “human-in-the-loop” MTTR; % casos com playbook; tempo de triagem Shadow Agent  (uso não aprovado cria pipeline invisível de dados) Canal seguro para agentes  (permitir com guardrails, não banir) Criar “rota segura” (proxy/SSE + logging) para tráfego de ferramentas/agents; aprovar catálogo de agentes % tráfego de IA “visível”; violações de policy Prompt injection sai do PoC e vai para exfiltração/sabotagem em 2026 Proteção de aplicações LLM  (guardrails input/output e validações) Testes de segurança em prompts; sanitização de saída; confirmação humana para ações de alto risco nº de tentativas bloqueadas; taxa de falsos positivos Ransomware + vazamento atingiu escala recorde  (DLS 2.302 vítimas no Q1/2025) Resiliência anti-extorsão  (backup, contenção, exfil controls) Revisar backups (imutável + teste de restauração); DLP/egress controls; tabletop de crise RTO/RPO real; % restaurações testadas; tempo até contenção Acesso inicial via engenharia social evoluiu  (vishing e técnicas para contornar MFA) Defesa contra vishing + fraude de identidade Treinar helpdesk/IT e líderes (procedimentos de verificação); bloquear resets por voz sem prova forte; alertas para “MFA fatigue” nº de tentativas; % resets com verificação forte Terceiros viraram alavanca de escala  (provedores e MFT/zero-days para muitos alvos) Programa de risco de terceiros + “single point of failure” Classificar terceiros críticos; exigir logs/telemetria; validar plano de resposta e comunicação % terceiros críticos avaliados; tempo de resposta do fornecedor Superfície de ataque precisa ser reduzida continuamente (CTEM) CTEM + hardening baseline  (contínuo, não pontual) Rodar ciclo CTEM trimestral; baseline de hardening para endpoints/servidores/cloud redução de exposições críticas; tempo para corrigir Supply chain e secure-by-design viraram “core”  (inclui produtos de IA) SSDLC + segurança de dependências (SBOM/controles) Definir gates no CI/CD (SAST/dep scanning/secrets); política de dependências; revisão de pipelines % builds com gates; falhas críticas por release Consolidação de fornecedores é tendência (e risco de concentração) Estratégia anti lock-in + plano de continuidade Mapear dependências de plataforma; requisitos mínimos de portabilidade; plano de migração emergencial nº SPOFs de fornecedor; tempo estimado de migração CTI virou peça estratégica  (investimento, compra, risco e integração) CTI integrado ao ciclo de decisão  (SOC + GRC + vulnerabilidades) Integrar TI com SIEM/SOAR e VM; definir “intelligence requirements” por negócio % alertas enriquecidos; redução de ruído; decisões suportadas por TI Dores de CTI em 2025: credibilidade + integrações + overload Curadoria + scoring de fonte + automação de integração Criar score de fontes/feeds; matar feeds redundantes; playbook de “enrichment” padronizado % fontes com score; queda em “info overload”; SLA de integração Em 2025, ficou evidente que não vence quem tem “mais ferramentas”, e sim quem tem mais clareza operacional : visibilidade real do ambiente, prioridade bem definida e capacidade de agir rápido quando o incidente acontece. O ano consolidou a IA como multiplicador tanto para atacantes quanto para defensores e mostrou que extorsão e cadeia de terceiros continuam sendo caminhos eficientes para impacto em escala. Também ficou claro que Threat Intelligence só gera valor quando vira decisão: reduz ruído, orienta prioridade e melhora resposta, em vez de virar mais uma fonte de informação difícil de consumir. Para 2026, o recado é direto: a superfície de ataque não é mais só “o que você expõe”, é o que você automatiza . Agentes, integrações e fluxos conectados (MCP, RAG, automações no SOC e no ITSM) aumentam produtividade, mas também ampliam riscos se não houver governança, identidade, telemetria e limites de autonomia. Por isso, a preparação que realmente importa combina três frentes: fundamentos bem executados  (least privilege, patching contínuo e redução de exposição), resiliência anti-extorsão  (conter rápido, recuperar mais rápido ainda e controlar exfiltração), e segurança de IA “by design”  (guardrails, controles de dados e trilhas de auditoria). O que separa as organizações que vão “apagar incêndios” das que vão atravessar 2026 com maturidade é a capacidade de transformar aprendizados em rotina: medir, automatizar com responsabilidade e corrigir continuamente. A tecnologia vai acelerar e o ataque também. A diferença estará em quem trata segurança como processo vivo , não como checklist.

Um turboélice executivo pousou “sozinho” em Colorado (EUA) após um problema em voo e o episódio virou um marco para a aviação geral: pela primeira vez fora de testes, a autoridade de aviação civil dos EUA confirmou que uma aeronave realizou um pouso de emergência totalmente guiado por automação, do início ao fim, usando o sistema Garmin Emergency Autoland. O caso ocorreu no sábado, 20 de dezembro de 2025, quando um Beechcraft Super King Air pousou com segurança no Rocky Mountain Metropolitan Airport ( KBJC ), por volta das 14h20 (horário local). Segundo a Federal Aviation Administration (FAA), o pouso aconteceu depois que o piloto perdeu comunicação com o controle de tráfego aéreo, momento em que um sistema de autolanding de emergência foi ativado. A agência informou ainda que duas pessoas estavam a bordo e que o episódio está sob investigação. A repercussão inicial levantou suspeitas de incapacitação dos pilotos , em parte porque o Autoland transmite mensagens automáticas com esse tipo de alerta inclusive para o ATC . Porém, o operador do voo indicou que a ativação do sistema foi uma decisão deliberada da tripulação, tomada como medida conservadora diante de um evento de cabine: a aeronave teria sofrido uma perda rápida e não comandada de pressurização. De acordo com o relato, os pilotos colocaram máscaras de oxigênio e optaram por manter o sistema conduzindo o procedimento até o pouso. O avião envolvido era um King Air B200, versão bastante comum em táxi-aéreo e operações corporativas por sua capacidade de operar em pistas relativamente curtas. Em configurações típicas, o modelo comporta 7 a 9 passageiros, além de dois tripulantes, e costuma voar com dois pilotos em operações comerciais por margem adicional de segurança, ainda que algumas variantes sejam certificadas para operação com um piloto. Como funciona o Emergency Autoland Diferente de um piloto automático tradicional (que mantém rota/altitude e segue comandos do piloto), o Emergency Autoland foi projetado para assumir o controle completo em uma emergência: ele seleciona automaticamente o melhor aeroporto disponível e executa aproximação, pouso, frenagem e procedimentos finais. A decisão de onde pousar leva em conta variáveis como comprimento de pista, condições, distância e combustível, além de enviar comunicações automatizadas ao controle de tráfego aéreo para coordenar a chegada. A Garmin lançou o Autoland em 2019 , com foco em cenários como incapacidade do piloto e, na prática, o caso no Colorado sugere que a automação também pode ser usada como “plano B” quando a tripulação avalia que reduzir carga de trabalho e risco operacional é a melhor escolha naquele momento. Via - TR

Na semana que antecedeu o Natal, milhões de franceses sentiram na prática como uma interrupção digital pode virar um problema do “mundo real”: rastreio de encomendas fora do ar, lentidão na distribuição de correspondências e instabilidade no acesso ao banco pelo celular. Foi esse o cenário enfrentado por clientes da La Poste o serviço postal nacional da França e da La Banque Postale, braço bancário do grupo, após um ataque de negação de serviço distribuída (DDoS) que tirou sistemas do ar em um dos períodos mais movimentados do ano. Autoridades francesas afirmam que o grupo hacker pró-Rússia NoName057(16) reivindicou a autoria do ataque. A La Poste informou na sexta-feira que as operações foram restabelecidas depois da ofensiva, que começou no início da semana. Mesmo com a interrupção, a empresa disse ter entregue 5,5 milhões de encomendas até a tarde de quarta-feira, em meio ao pico de demanda típico das compras de fim de ano. Com a reivindicação pública, o caso ganhou prioridade na esfera criminal. O Ministério Público de Paris abriu uma investigação e a apuração passou a ser conduzida pela DGSI, a agência de inteligência interna da França. Segundo promotores ouvidos pela imprensa local, a investigação neste momento concentra-se no crime de interrupção deliberada de um serviço de processamento de dados, tipificação comum quando ataques DDoS derrubam sistemas e plataformas essenciais. A La Poste, que emprega mais de 200 mil pessoas, já havia relatado que o ataque derrubou temporariamente sistemas digitais considerados críticos, afetando serviços como rastreamento online de pacotes e contribuindo para atrasos na distribuição de correspondências. A empresa também declarou que, até então, não havia evidências de comprometimento de dados de clientes, indicando que o foco da ofensiva foi a indisponibilidade e não o roubo de informações. O impacto se estendeu ao ecossistema financeiro do grupo. A La Banque Postale alertou clientes sobre a indisponibilidade temporária do internet banking e do aplicativo móvel, com a maior parte dos serviços normalizada na quarta-feira. Em incidentes desse tipo, é comum que instituições priorizem a continuidade de operações internas e canais alternativos enquanto reforçam camadas de proteção contra tráfego malicioso. O NoName057(16) surgiu no início da invasão russa à Ucrânia, em 2022, e ficou conhecido por campanhas de DDoS contra a Ucrânia e países aliados. De acordo com as informações divulgadas no relato do caso, o grupo costuma coordenar ataques relativamente simples do ponto de vista técnico, mas altamente disruptivos, usando apoio de centenas de voluntários e uma estrutura baseada em botnet com centenas de servidores. Alvos recorrentes incluem países europeus como Polônia, República Tcheca, Lituânia e Itália. O episódio também ocorre em um contexto de atenção elevada do governo francês a ameaças digitais. No início de dezembro, a França já havia divulgado uma intrusão no Ministério do Interior, em que invasores acessaram contas de e-mail e documentos confidenciais. Na ocasião, as autoridades prenderam um suspeito de 22 anos ligado ao caso, reforçando o clima de alerta para ataques contra serviços públicos e estruturas governamentais.

Uma vulnerabilidade crítica  foi divulgada no LangChain Core , um dos principais frameworks utilizados para orquestração de aplicações baseadas em Large Language Models (LLMs) . A falha, identificada como CVE-2025-68664  e com pontuação CVSS de 9,3 , pode ser explorada por hackers para extrair segredos sensíveis , manipular respostas de modelos de IA e, em cenários mais graves, executar código arbitrário . O LangChain Core ( langchain-core ) é um pacote central em Python dentro do ecossistema LangChain, responsável por fornecer interfaces e abstrações independentes de modelo para a construção de aplicações baseadas em LLMs. Justamente por estar no núcleo do framework, a vulnerabilidade possui alto impacto potencial , afetando uma ampla gama de aplicações que utilizam serialização e desserialização de dados. Como a vulnerabilidade funciona A falha, batizada de LangGrinch , foi reportada em 4 de dezembro de 2025  pelo pesquisador Yarden Porat  e está relacionada a um problema de serialization injection  nas funções dumps() e dumpd()  do LangChain. Segundo o advisory oficial, essas funções não escapam corretamente dicionários controlados pelo usuário que contenham a chave especial "lc" . Essa chave é utilizada internamente pelo LangChain para identificar objetos serializados legítimos do framework. Na prática, quando um invasor consegue inserir dados contendo a estrutura "lc" em campos controláveis pelo usuário, esses dados passam a ser tratados como objetos legítimos do LangChain durante a desserialização , e não como simples entrada de usuário. Isso abre caminho para a criação de objetos inseguros e execução de fluxos inesperados dentro da aplicação. Impactos possíveis do ataque De acordo com o pesquisador, a exploração bem-sucedida da falha pode resultar em diversos cenários críticos, incluindo: Extração de segredos armazenados em variáveis de ambiente , especialmente quando a desserialização ocorre com secrets_from_env=True (configuração que anteriormente vinha habilitada por padrão) Instanciação de classes dentro de namespaces confiáveis , como langchain_core, langchain e langchain_community Manipulação de respostas de LLMs via prompt injection , explorando campos como metadata, additional_kwargs e response_metadata Possível execução de código arbitrário , especialmente em ambientes que utilizam templates Jinja2 Segundo Porat , esse é um exemplo clássico da interseção entre IA e falhas tradicionais de segurança , onde saídas de modelos de linguagem que deveriam ser tratadas como entrada não confiável  acabam sendo reutilizadas em fluxos críticos de serialização. Correções aplicadas pelo LangChain Para mitigar o problema, o LangChain lançou atualizações que introduzem mudanças restritivas de segurança , incluindo: Novo parâmetro allowed_objects nas funções load() e loads(), permitindo definir explicitamente quais classes podem ser serializadas/desserializadas Bloqueio de templates Jinja2 por padrão Alteração do secrets_from_env para False, impedindo o carregamento automático de segredos do ambiente Versões afetadas (Python) langchain-core >= 1.0.0, < 1.2.5 → corrigido na 1.2.5 langchain-core < 0.3.81 → corrigido na 0.3.81 Falha similar no LangChain.js Além da versão em Python, foi identificada uma falha semelhante no LangChain.js , também causada pela falta de escape adequado da chave "lc" , permitindo extração de segredos e prompt injection. Essa vulnerabilidade recebeu o identificador CVE-2025-68665  (CVSS 8,6). Pacotes afetados incluem: @langchain/core >= 1.0.0, < 1.1.8 → corrigido na 1.1.8 @langchain/core < 0.3.80 → corrigido na 0.3.80 langchain >= 1.0.0, < 1.2.3 → corrigido na 1.2.3 langchain < 0.3.37 → corrigido na 0.3.37 Via - THN

A Fortinet  emitiu um alerta informando que identificou exploração ativa na internet de uma vulnerabilidade antiga, mas ainda extremamente perigosa, que afeta o FortiOS SSL VPN. A falha, catalogada como CVE-2020-12812 e com pontuação CVSS de 5,2, permite que hackers contornem a autenticação multifator (2FA) em determinados cenários de configuração. Embora a vulnerabilidade tenha sido divulgada originalmente em 2020, a Fortinet confirmou , em um advisory publicado em 24 de dezembro de 2025, que o problema voltou a ser explorado por múltiplos invasores, reforçando que falhas antigas continuam sendo um vetor relevante de ataques quando sistemas permanecem desatualizados ou mal configurados. O problema está relacionado a uma inconsistência no tratamento de letras maiúsculas e minúsculas (case sensitivity) durante o processo de autenticação. A falha ocorre quando: A autenticação em dois fatores (2FA) está habilitada para usuários locais no FortiGate Esses usuários locais utilizam autenticação remota, como LDAP O mesmo usuário faz parte de um grupo configurado no servidor LDAP Esse grupo LDAP é utilizado em políticas de autenticação (admin, SSL VPN ou IPsec VPN) Nessa situação, o FortiGate trata o nome de usuário como case-sensitive, enquanto o LDAP não faz essa distinção. Como resultado, ao alterar a capitalização do nome de usuário (por exemplo, JSmith, jsmiTh, JSMITH), o sistema não associa o login ao usuário local protegido por 2FA e acaba autenticando diretamente via LDAP sem exigir o segundo fator. Segundo a Fortinet, isso permite que usuários administrativos ou de VPN sejam autenticados sem 2FA, desde que as credenciais LDAP estejam corretas. A vulnerabilidade já havia sido listada pelo governo dos Estados Unidos como uma das falhas exploradas em ataques contra dispositivos de perímetro em 2021. Agora, a Fortinet confirma que o problema voltou a ser explorado ativamente, embora não tenha divulgado detalhes técnicos sobre os ataques ou confirmado se houve comprometimentos bem-sucedidos. A Fortinet corrigiu esse comportamento ainda em julho de 2020 , com o lançamento das versões: FortiOS 6.0.10 FortiOS 6.2.4 FortiOS 6.4.1 Para ambientes que ainda não aplicaram essas versões, é possível mitigar o problema com o comando: set username-case-sensitivity disable Já clientes que utilizam FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 ou superior  devem executar: set username-sensitivity disable Com essa configuração, o FortiGate passa a tratar todas as variações de capitalização do nome de usuário como equivalentes, impedindo o desvio do fluxo de autenticação e o bypass do 2FA. Como medida adicional, a Fortinet recomenda remover grupos LDAP secundários que não sejam estritamente necessários, eliminando completamente a possibilidade desse vetor de ataque. Caso haja qualquer indício de que usuários administrativos ou de VPN tenham sido autenticados sem 2FA, a orientação é entrar em contato com o suporte da Fortinet e redefinir todas as credenciais afetadas. Via - THN

Uma falha de segurança de alta gravidade foi divulgada recentemente no MongoDB, banco de dados amplamente utilizado em aplicações corporativas e ambientes em nuvem. A vulnerabilidade, identificada como CVE-2025-14847  e classificada com pontuação CVSS de 8,7, pode permitir que hackers não autenticados leiam áreas de memória não inicializadas do servidor. O problema está relacionado ao tratamento incorreto de inconsistências no campo de comprimento (length) em cabeçalhos de protocolo que utilizam compressão Zlib. Em cenários específicos, essa falha faz com que o servidor processe dados cujo tamanho declarado não corresponde ao conteúdo real, abrindo espaço para que um invasor remoto obtenha informações armazenadas temporariamente na memória (heap). De acordo com a descrição oficial do CVE, campos de tamanho incompatíveis em cabeçalhos comprimidos com Zlib podem permitir a leitura de memória heap não inicializada por um cliente não autenticado. Na prática, isso significa que um hacker pode explorar a falha sem sequer possuir credenciais válidas para acessar o banco de dados. A vulnerabilidade impacta uma ampla gama de versões do MongoDB Server, incluindo: MongoDB 8.2.0 a 8.2.3 MongoDB 8.0.0 a 8.0.16 MongoDB 7.0.0 a 7.0.26 MongoDB 6.0.0 a 6.0.26 MongoDB 5.0.0 a 5.0.31 MongoDB 4.4.0 a 4.4.29 Todas as versões  do MongoDB Server 4.2 , 4.0  e 3.6 O problema já foi corrigido nas versões 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 e 4.4.30 . Segundo a própria MongoDB , um exploit do lado do cliente explorando a implementação Zlib pode retornar memória não inicializada do servidor sem necessidade de autenticação. Essa memória pode conter informações sensíveis em tempo de execução, como estados internos do sistema, ponteiros e outros dados que podem facilitar ataques mais sofisticados. A empresa de segurança OP Innovate reforça que a falha pode resultar na exposição de dados críticos em memória, ampliando significativamente a superfície de ataque e auxiliando hackers em movimentos laterais ou na exploração de outras vulnerabilidades. A recomendação principal é atualizar imediatamente para uma versão corrigida  do MongoDB. Caso a atualização não seja possível no curto prazo, a orientação é desabilitar o uso de compressão Zlib , iniciando o mongod ou mongos com as opções: networkMessageCompressors net.compression.compressors excluindo explicitamente o zlib . O MongoDB continua oferecendo suporte a outros algoritmos de compressão, como snappy  e zstd , que não são afetados por essa falha. Via - THN

A Prefeitura de Saudades, no oeste de Santa Catarina, confirmou nesta segunda-feira (22) que o sistema do setor financeiro do município foi alvo de um ataque hacker, resultando na perda temporária de acesso às contas bancárias da administração pública. Em pronunciamento oficial, o prefeito Maciel Schneider classificou o incidente como grave e informou que o ataque ocorreu a partir do computador do setor financeiro, permitindo que invasores acessassem uma instituição financeira onde o município mantém diversas contas e valores aplicados. Segundo o prefeito, após a identificação do ataque, o banco responsável foi imediatamente acionado e iniciou um processo de apuração para verificar se houve transferências irregulares ou movimentações não autorizadas. “Infelizmente, tiveram acesso a uma instituição financeira que o município possui valores expressivos aplicados. O banco está levantando se houve alguma movimentação”, afirmou Schneider. A administração municipal informou que um boletim de ocorrência foi registrado junto à Polícia Civil de Santa Catarina, que já comunicou o caso ao Judiciário. As investigações devem apurar a origem do ataque, o método utilizado pelos hackers e se houve prejuízo financeiro aos cofres públicos. Apesar da situação, o prefeito buscou tranquilizar servidores públicos, fornecedores e prestadores de serviço. De acordo com Schneider, o pagamento da folha salarial está garantido, e a prefeitura segue trabalhando em conjunto com o banco e as autoridades para restabelecer o acesso aos sistemas e reforçar as medidas de segurança. O incidente reforça o alerta sobre o aumento de ataques cibernéticos contra administrações públicas, especialmente em áreas sensíveis como finanças e gestão de recursos, onde falhas de segurança podem gerar impactos diretos à população.

O Spotify anunciou que desativou contas de usuários envolvidas na extração massiva de conteúdos da plataforma, após um grupo open source divulgar arquivos contendo 86 milhões de faixas obtidas por meio de scraping . O caso veio à tona no fim de semana, quando o Anna's Archive publicou um banco de dados com músicas e metadados coletados ao longo de meses. O Anna’s Archive, que se descreve como a “maior biblioteca verdadeiramente aberta da história humana”, afirmou ter descoberto uma forma de coletar arquivos do Spotify em larga escala e, em seguida, disponibilizou um conjunto de dados com cerca de 300 terabytes, contendo músicas que representam aproximadamente 99,6% de todas as reproduções da plataforma. Além disso, o grupo liberou um arquivo menor com as 10 mil músicas mais populares. Em nota enviada à imprensa, um porta-voz do Spotify afirmou que a empresa identificou e bloqueou contas usadas de forma maliciosa, que violaram os termos de uso ao realizar stream-ripping  de músicas. Segundo a companhia, o incidente não foi classificado como um ataque hacker, já que não houve acesso aos sistemas internos do Spotify, mas sim o uso indevido de contas criadas por terceiros. “Implementamos novas salvaguardas contra esse tipo de ataque antipirataria e estamos monitorando ativamente comportamentos suspeitos. Desde o primeiro dia, estamos ao lado da comunidade de artistas contra a pirataria”, afirmou o porta-voz. A empresa também destacou que o Anna’s Archive não entrou em contato previamente antes de publicar os arquivos. Em um post publicado em seu blog, o Anna’s Archive justificou a iniciativa dizendo que, embora normalmente foque em textos, sua missão de preservar o conhecimento e a cultura humana não faz distinção entre tipos de mídia. O grupo afirmou que o Spotify, apesar de não conter “toda a música do mundo”, seria um excelente ponto de partida para criar um grande arquivo de preservação musical. Os dados divulgados abrangem músicas publicadas no Spotify entre 2007 e julho de 2025 e incluem um banco de metadados com 256 milhões de faixas, descrito pelo grupo como o maior já disponibilizado publicamente. A análise dos dados também revelou uma forte concentração de audiência: as três músicas mais ouvidas da plataforma Billie Eilish, Lady Gaga e Bad Bunny somam mais reproduções do que dezenas de milhões de faixas menos populares combinadas. O Anna’s Archive é banido em diversos países devido a reiteradas violações de direitos autorais. A iniciativa surgiu após o fechamento do Z-Library em 2022, quando autoridades dos Estados Unidos prenderam dois cidadãos russos acusados de operar o então maior site de livros piratas do mundo. Desde então, o grupo passou a agregar conteúdos de outras bibliotecas online, como Internet Archive, Library Genesis e Sci-Hub. Atualmente, o Anna’s Archive afirma reunir mais de 61 milhões de livros e 95 milhões de artigos científicos. Em novembro, a Google informou ter removido cerca de 800 milhões de links relacionados ao site de seus resultados de busca, após solicitações de titulares de direitos autorais.

A Coreia do Sul passará a exigir reconhecimento facial no momento da contratação de novos números de telefone celular, como parte de uma estratégia para combater golpes e fraudes de identidade. O anúncio foi feito pelo Ministério da Ciência e TIC  e a medida entra em vigor em 23 de março, após um período piloto que começa nesta semana. A política se aplica às três principais operadoras móveis do país e também aos operadores móveis virtuais (MVNOs). Segundo o governo, a verificação biométrica permitirá comparar, em tempo real, a foto do documento de identidade com o rosto do titular, impedindo o registro de linhas com nomes falsos usando documentos roubados ou forjados. O endurecimento das regras faz parte de um plano mais amplo anunciado em agosto para reduzir golpes de “voice phishing”, prática que tem afetado milhares de cidadãos. Entre as medidas previstas estão penalidades mais severas para operadoras que não adotarem controles eficazes de prevenção. Os números reforçam a urgência: até novembro, 21.588 casos de golpes por ligação haviam sido registrados no país. O tema ganhou ainda mais destaque após um incidente grave ocorrido em abril, quando a operadora SK Telecom sofreu uma invasão cibernética que resultou no vazamento de dados de SIM cards de cerca de 27 milhões de clientes. Reguladores de privacidade concluíram que a empresa não implementava controles básicos de acesso, o que permitiu aos hackers obter dados de autenticação e informações de assinantes em larga escala. O episódio acelerou o debate sobre segurança, identidade digital e responsabilidade das operadoras no país. Apesar do foco em segurança, a nova exigência também reacende discussões sobre privacidade e uso de biometria, especialmente quanto ao armazenamento e proteção de dados faciais. O governo afirma que a medida é necessária para reduzir fraudes sistêmicas, mas especialistas acompanham de perto os impactos dessa decisão no equilíbrio entre proteção e direitos individuais. Via - RFN

A gigante de software corporativo ServiceNow anunciou a aquisição da empresa de cibersegurança Armis por US$ 7,75 bilhões, em um movimento estratégico para ampliar seu portfólio de segurança e acelerar sua visão de cibersegurança nativa em IA, proativa e orientada à resposta a vulnerabilidades. Segundo a ServiceNow, a compra permitirá integrar as capacidades da Armis focadas em gestão de exposição cibernética, visibilidade contínua de ativos e monitoramento em tempo real às suas plataformas de automação e workflows corporativos. A expectativa é oferecer uma abordagem mais integrada, capaz de identificar riscos, priorizar vulnerabilidades e automatizar respostas de forma inteligente. Fundada em 2015 por veteranos do exército israelense, a Armis iniciou suas operações com foco em segurança de IoT e tecnologia operacional (OT), áreas críticas para ambientes industriais, saúde e infraestrutura. Ao longo dos anos, a empresa expandiu sua atuação para o conceito de Cyber Exposure Management, atendendo organizações dos setores público e privado. De acordo com o cofundador e CEO Yevgeny Dibrov, a missão da Armis sempre foi proteger ambientes críticos por meio de inteligência em tempo real. Atualmente, a Armis conta com cerca de 950 funcionários e ultrapassou a marca de US$ 340 milhões em receita recorrente anual (ARR), números que reforçam sua relevância no mercado global de cibersegurança. A ServiceNow informou que a transação será financiada por meio de caixa e endividamento, com previsão de conclusão no segundo semestre de 2026. O acordo já vinha sendo especulado há semanas e ocorre em meio a uma forte onda de consolidação no setor de cibersegurança. Nos últimos meses, grandes empresas de tecnologia anunciaram aquisições bilionárias para fortalecer suas ofertas de segurança. A Google adquiriu a empresa israelense Wiz por US$ 32 bilhões, enquanto a Palo Alto Networks anunciou a compra da CyberArk por US$ 25 bilhões. Líder no mercado de automação e gestão de serviços corporativos, a ServiceNow reportou US$ 3,4 bilhões em receita apenas no último trimestre. A empresa também tem intensificado sua estratégia de aquisições, incluindo a compra da empresa de IA Moveworks e, mais recentemente, o anúncio da aquisição da plataforma de segurança de identidade Veza por US$ 1 bilhão. Via - RFN

Pesquisadores alertaram para um novo ataque à cadeia de suprimentos de software envolvendo um pacote malicioso publicado no repositório npm. O pacote, que se apresenta como uma API funcional do WhatsApp, é capaz de interceptar mensagens, roubar contatos, capturar tokens de autenticação e vincular silenciosamente o dispositivo do hacker à conta da vítima. Batizada de “ lotusbail ”, a biblioteca foi publicada em maio de 2025 por um usuário identificado como seiren_primrose  e já ultrapassou 56 mil downloads , com mais de 700 apenas na última semana. Mesmo após a divulgação do caso, o pacote ainda permanece disponível para download, ampliando o risco para desenvolvedores e empresas que utilizam integrações com o WhatsApp. Segundo pesquisadores da Koi Security , o pacote funciona como uma API legítima, mas esconde um conjunto de funcionalidades maliciosas. O código é capaz de roubar credenciais do WhatsApp, interceptar todas as mensagens trocadas, coletar listas completas de contatos com números de telefone, capturar arquivos de mídia e documentos, além de instalar uma porta dos fundos persistente no ambiente. O malware se inspira diretamente na biblioteca legítima @whiskeysockets/baileys , amplamente usada para integração com o WhatsApp Web via WebSockets. A diferença é que o lotusbail  adiciona um wrapper malicioso de WebSocket, por onde passam mensagens e dados de autenticação, permitindo a espionagem completa das comunicações. Todas as informações roubadas são criptografadas e enviadas para servidores controlados pelos hackers. O aspecto mais grave do ataque está no sequestro do processo de pareamento de dispositivos. Durante a autenticação, a biblioteca utiliza um código de pareamento embutido no código-fonte para vincular também o dispositivo do invasor à conta do WhatsApp da vítima, garantindo acesso persistente. Mesmo que o pacote seja removido do sistema, o hacker continua com acesso total à conta até que o dispositivo malicioso seja manualmente desvinculado nas configurações do aplicativo. Além disso, o pacote inclui mecanismos antidepuração, que fazem o código entrar em um loop infinito caso ferramentas de análise sejam detectadas, dificultando investigações e análises forenses. De acordo com os pesquisadores, o ataque é ativado automaticamente assim que o desenvolvedor utiliza a biblioteca para se conectar ao WhatsApp, sem exigir chamadas especiais ou ações suspeitas. O caso reforça uma tendência preocupante: ataques à cadeia de suprimentos estão cada vez mais sofisticados e difíceis de detectar. Como o código aparenta ser funcional e possui um alto número de downloads, mecanismos tradicionais de confiança acabam falhando, permitindo que malwares se escondam “entre o código que funciona e o código que faz mais do que promete”. A divulgação ocorre paralelamente a outro alerta feito pela ReversingLabs , que identificou 14 pacotes maliciosos no NuGet se passando por bibliotecas populares do ecossistema de criptomoedas, como integrações com Ethereum, Bitcoin, Binance e Solana. Esses pacotes foram projetados para desviar fundos de transações, roubar chaves privadas e seed phrases, ou capturar credenciais sensíveis, como tokens OAuth do Google Ads. Para parecerem legítimos, os hackers inflaram artificialmente o número de downloads e publicaram múltiplas versões em curto espaço de tempo, simulando manutenção ativa dos projetos. Via - THN

Uma vulnerabilidade crítica foi divulgada na plataforma de automação de workflows n8n , capaz de permitir execução arbitrária de código e levar ao comprometimento total de servidores afetados. A falha, identificada como CVE-2025-68613 , recebeu uma pontuação CVSS de 9.9, uma das mais altas possíveis na escala de severidade. Descoberta pelo pesquisador Fatih Çelik , a vulnerabilidade está relacionada à forma como o n8n avalia expressões fornecidas por usuários autenticados durante a configuração de fluxos de automação. Segundo os mantenedores do pacote no npm , essas expressões podem ser processadas em um contexto de execução que não está devidamente isolado do ambiente de runtime, abrindo espaço para abuso por parte de invasores. Na prática, um hacker autenticado pode explorar esse comportamento para executar comandos arbitrários com os mesmos privilégios do processo do n8n. Isso pode resultar em acesso não autorizado a dados sensíveis, modificação maliciosa de workflows, persistência no ambiente e até a execução de operações em nível de sistema operacional. A falha afeta todas as versões do n8n a partir da 0.211.0 até a 1.120.4, e já foi corrigida nas versões 1.120.4, 1.121.1 e 1.122.0. De acordo com dados da plataforma de gestão de superfície de ataque Censys, havia mais de 103 mil instâncias potencialmente vulneráveis  expostas à internet em 22 de dezembro de 2025. A maior concentração dessas instâncias está localizada nos Estados Unidos, Alemanha, França, Brasil e Singapura, o que amplia significativamente o impacto global da falha, especialmente em ambientes corporativos que utilizam o n8n como parte de pipelines de automação, integração de sistemas e processos de DevOps. Diante da gravidade do cenário, especialistas recomendam a aplicação imediata dos patches. Para organizações que não consigam atualizar o ambiente de forma imediata, as medidas de mitigação incluem restringir permissões de criação e edição de workflows apenas a usuários confiáveis, executar o n8n em ambientes reforçados ( hardened ), com privilégios mínimos no sistema operacional e controles rigorosos de acesso à rede. Via - THN