← Voltar ao Blog
Boletim de Segurança 7 min de leitura

Bypass de Autenticação CCTV Honeywell + Vazamento de 1M de Contas da Figure

A CISA alerta sobre vulnerabilidade crítica em CCTV Honeywell (CVSS 9.8) permitindo acesso não autorizado. Vazamento da fintech Figure expõe quase 1 milhão de contas via engenharia social. Quatro extensões do VS Code com mais de 125M de downloads contêm falhas críticas. Bug do Microsoft Copilot contorna políticas DLP desde janeiro.


Crítico: Bypass de Autenticação em CCTV Honeywell

Alerta da CISA: CVE-2026-1670 — CVSS 9.8

A CISA está alertando sobre uma vulnerabilidade crítica em múltiplos produtos CCTV Honeywell usados em infraestrutura crítica. Atacantes podem sequestrar contas e acessar feeds de câmera sem autenticação.

Descoberta pelo pesquisador Souvik Kanda, a CVE-2026-1670 é classificada como "autenticação ausente para função crítica". A falha permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando sequestro completo da conta.

Modelos Afetados

Modelo Versão do Firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Essas câmeras compatíveis com NDAA estão implantadas em agências governamentais dos EUA, contratados federais e instalações críticas. A CISA recomenda:


Fintech Figure: 967 Mil Contas Vazadas

ShinyHunters Reivindica Responsabilidade por Ataque de Engenharia Social

A empresa de fintech nativa em blockchain Figure Technology Solutions sofreu um vazamento afetando quase 1 milhão de contas. O ataque foi executado via engenharia social.

A Figure, que desbloqueou mais de US$ 22 bilhões em home equity com mais de 250 parceiros, incluindo bancos, cooperativas de crédito e fintechs, confirmou o incidente ao TechCrunch. Os atacantes usaram phishing de voz (vishing) para enganar um funcionário a fornecer acesso.

Dados Expostos

O grupo de extorsão ShinyHunters vazou 2,5GB de dados de milhares de solicitantes de empréstimo em seu site na dark web. Isso faz parte de uma campanha maior visando contas SSO na Okta, Microsoft e Google em mais de 100 organizações de alto perfil.

🎯 Padrão de Ataque

Os atacantes se passam por suporte de TI, ligam para funcionários e os enganam para inserir credenciais e códigos MFA em sites de phishing que imitam portais de login da empresa. Uma vez dentro, ganham acesso a aplicações empresariais conectadas, incluindo Salesforce, Microsoft 365, Google Workspace, Slack e Dropbox.


Extensões do VS Code: Mais de 125M de Downloads Afetados

Falhas Críticas Permitem Exfiltração de Arquivos e Execução Remota de Código

Pesquisadores da OX Security descobriram múltiplas vulnerabilidades em quatro extensões populares do VS Code. Três CVEs permanecem sem correção.

"Um hacker precisa apenas de uma extensão maliciosa, ou uma única vulnerabilidade dentro de uma extensão, para realizar movimento lateral e comprometer organizações inteiras", alertaram os pesquisadores.

CVE Extensão CVSS Impacto
CVE-2025-65717 Live Server 9.1 Exfiltração de arquivos locais via site malicioso
CVE-2025-65716 Markdown Preview Enhanced 8.8 Execução arbitrária de JavaScript via arquivo .md
CVE-2025-65715 Code Runner 7.8 Execução arbitrária de código via settings.json
Microsoft Live Preview Exfiltração de arquivos sensíveis (corrigido na v0.4.16)

Ações Imediatas


Microsoft Copilot Contorna Políticas DLP

Bug Ativo Desde 21 de Janeiro — Resumindo E-mails Confidenciais

Um bug no Microsoft 365 Copilot vem fazendo com que o assistente de IA resuma e-mails confidenciais, contornando políticas de prevenção contra perda de dados (DLP) que protegem informações sensíveis.

Rastreado como CW1226324, este bug afeta o recurso de chat da "guia de trabalho" do Copilot. Ele lê e resume incorretamente e-mails nas pastas Itens Enviados e Rascunhos — incluindo mensagens com rótulos de confidencialidade explicitamente projetados para restringir o acesso por ferramentas automatizadas.

Linha do Tempo

A Microsoft declarou: "Isso não forneceu a ninguém acesso a informações que já não estavam autorizados a ver... Uma atualização de configuração foi implementada mundialmente para clientes corporativos."

Recomendação Empresarial

Revise os logs de atividade do Copilot para o período desde 21 de janeiro. Verifique se conteúdo rotulado com sensibilidade não foi inadvertidamente incluído em resumos do Copilot compartilhados além dos destinatários pretendidos.


Outras Manchetes

Texas Processa TP-Link por Riscos de Hacking Chinês

O Texas processou a TP-Link Systems, acusando a empresa de comercializar enganosamente roteadores como seguros enquanto permite que hackers apoiados pelo Estado chinês explorem vulnerabilidades de firmware.

Operação Red Card 2.0 da INTERPOL

651 prisões em 16 países africanos. Recuperados mais de US$ 4,3 milhões. A operação visou fraude de investimento, golpes de dinheiro móvel e aplicativos de empréstimo fraudulentos ligados a perdas de US$ 45 milhões.

PromptSpy: Primeiro Malware a Abusar da IA Gemini

A ESET descobriu malware Android que usa a IA Gemini do Google para manter persistência. O malware aproveita IA generativa para analisar telas e gerar instruções passo a passo para se manter fixado em aplicativos recentes.

Hacker Nigeriano Recebe 8 Anos por Fraude Fiscal

Sentenciado por hackear múltiplas empresas de preparação de impostos em Massachusetts e arquivar declarações fraudulentas buscando mais de US$ 8,1 milhões em reembolsos.


Números de Hoje

Métrica Valor
Contas afetadas no vazamento da Figure 967.200
Severidade CVE Honeywell (CVSS) 9.8
Downloads de extensões VS Code em risco Mais de 125M
Duração do bypass DLP do Copilot ~30 dias
Prisões da INTERPOL (Op Red Card 2.0) 651
Organizações visadas pelos ShinyHunters Mais de 100

Prioridades de Hoje

  1. ISOLAR: Sistemas CCTV Honeywell — aplicar segmentação de rede imediatamente
  2. AUDITAR: Extensões do VS Code — desabilitar Live Server, Markdown Preview Enhanced, Code Runner até correção
  3. TREINAR: Conscientização de segurança sobre ataques de vishing (playbook ShinyHunters)
  4. VERIFICAR: Conformidade DLP do Microsoft Copilot — revisar atividade desde 21 de janeiro
  5. REVISAR: Controles de segurança SSO — resistência a bypass de MFA

Proteja Sua Organização com KENSAI

Gerenciamento de vulnerabilidades alimentado por IA com mais de 333.000 CVEs indexadas.

Iniciar Varredura Gratuita

Permaneça seguro. Permaneça vigilante.

🗡️ Equipe de Segurança KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home