Uma mudança de configuração no Google transformou chaves de API anteriormente inofensivas em um risco crítico de exposição de dados para usuários do Gemini AI. Juniper Networks divulga vulnerabilidade de tomada completa de roteador em roteadores PTX. Varejista europeu de bricolagem ManoMano sofre violação de 38 milhões de clientes. Mais: correções críticas de RCE do Trend Micro, pagamentos de ransomware atingem mínimas recordes e pacotes NuGet com typosquatting mirando o setor financeiro.
Chaves de API do Google para serviços como Google Maps que eram anteriormente consideradas de baixo risco quando incorporadas em código client-side agora podem ser usadas para autenticar no assistente Gemini AI e acessar dados privados de usuários. Esta é uma mudança disruptiva no modelo de autenticação de API do Google que afeta milhares de aplicações web.
Por anos, desenvolvedores incorporaram chaves de API do Google Maps em código JavaScript publicamente acessível sem grandes preocupações de segurança — chaves de API do Maps eram limitadas a serviços específicos e apresentavam risco mínimo mesmo quando expostas.
A recente integração do Google de capacidades do Gemini AI mudou o modelo de ameaça. As mesmas chaves de API agora podem ser usadas para consultar o Gemini e potencialmente acessar:
Isso representa uma escalada massiva de privilégios para chaves de API expostas. O que antes era um problema cosmético (alguém usando sua cota do Maps) agora é uma violação de dados esperando para acontecer.
Juniper Networks divulgou uma vulnerabilidade crítica no Junos OS Evolved executando em roteadores da Série PTX que permite a um atacante não autenticado executar código remotamente com privilégios root.
A falha permite que atacantes obtenham controle completo de roteadores PTX, potencialmente habilitando interceptação de rede, manipulação de tráfego e movimentação lateral para infraestrutura conectada.
Roteadores da Série PTX são roteadores de núcleo de alto desempenho usados por provedores de telecomunicações, ISPs e grandes empresas. Um roteador PTX comprometido pode:
Esta é uma vulnerabilidade de nível nation-state se explorada em ambientes de telecomunicações.
A varejista europeia de bricolagem e melhorias para o lar ManoMano está notificando clientes de uma violação de dados afetando 38 milhões de usuários pela Europa. A violação foi causada por atacantes que comprometeram um provedor de serviços terceirizado.
Implicação NIS2: A ManoMano opera pela UE e provavelmente se enquadra no escopo da NIS2 como uma plataforma de e-commerce importante. Esta violação testará os novos requisitos de notificação de incidentes — empresas devem reportar incidentes significativos dentro de 24 horas sob a NIS2.
Esta violação ressalta a superfície de ataque da cadeia de suprimentos que a NIS2 especificamente visa. Organizações são responsáveis pela postura de segurança de seus fornecedores, e comprometimentos de terceiros agora carregam consequências regulatórias.
Trend Micro corrigiu duas vulnerabilidades críticas no software de segurança de endpoint empresarial Apex One que permitem a atacantes obter execução remota de código em sistemas Windows vulneráveis.
Apex One é uma plataforma de proteção de endpoint — o software destinado a prevenir ataques RCE é ele próprio vulnerável a RCE. Atacantes mirando implantações do Apex One podem:
Se sua pilha de segurança é o elo mais fraco, você tem um problema sério de arquitetura.
Lançamentos da Trend Micro estão disponíveis. Isso deve ser prioridade P0 de correção — sua camada de proteção de endpoint é infraestrutura crítica.
Apesar de um aumento em ataques de ransomware, a porcentagem de vítimas pagando resgate caiu para 28% em 2025 — uma mínima histórica de acordo com múltiplos relatórios de inteligência de ameaças.
Grupos de ransomware estão se adaptando. Estamos vendo:
O declínio em pagamentos é uma boa notícia para defensores, mas está levando atores de ameaça a evoluir suas táticas.
Pesquisadores descobriram um pacote NuGet malicioso chamado StripeApi.Net se passando pela biblioteca oficial Stripe.net do Stripe (que tem mais de 75 milhões de downloads).
StripePayments em 16 de fevereiro de 2026O pacote já foi removido, mas aplicações afetadas podem ter vazado credenciais de processamento de pagamento.
Chaves de API do Stripe permitem que atacantes:
Equipes de desenvolvimento: Auditem seus arquivos packages.config e .csproj para StripeApi.Net. Se encontrado, rotacione todas as chaves de API do Stripe imediatamente.
O clube de futebol profissional francês Olympique de Marseille confirmou um ciberataque depois que atores de ameaça alegaram na segunda-feira ter violado os sistemas do clube no início deste mês e vazado dados internos.
Organizações esportivas são cada vez mais alvos para:
✅ Detecção de Exposição de Chave de API — Escaneie repositórios e bases de código para credenciais hardcoded
✅ Monitoramento de Cadeia de Suprimentos — Rastreie pacotes maliciosos em NuGet, npm, PyPI e Maven
✅ Alertas de CVE Críticos — Seja notificado quando fornecedores como Juniper ou Trend Micro lançarem patches de emergência
✅ Conformidade NIS2 — Relatórios de incidentes em alemão e documentação automatizada de vulnerabilidades
332.000+ CVEs indexados. Patches gerados por IA. Automação de PR no GitHub.
Iniciar Teste GratuitoMantenha-se seguro. Mantenha-se vigilante.
🗡️ Equipe de Segurança KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →