A CISA alerta sobre vulnerabilidade crítica em CCTV Honeywell (CVSS 9.8) permitindo acesso não autorizado. Vazamento da fintech Figure expõe quase 1 milhão de contas via engenharia social. Quatro extensões do VS Code com mais de 125M de downloads contêm falhas críticas. Bug do Microsoft Copilot contorna políticas DLP desde janeiro.
A CISA está alertando sobre uma vulnerabilidade crítica em múltiplos produtos CCTV Honeywell usados em infraestrutura crítica. Atacantes podem sequestrar contas e acessar feeds de câmera sem autenticação.
Descoberta pelo pesquisador Souvik Kanda, a CVE-2026-1670 é classificada como "autenticação ausente para função crítica". A falha permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando sequestro completo da conta.
| Modelo | Versão do Firmware |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
Essas câmeras compatíveis com NDAA estão implantadas em agências governamentais dos EUA, contratados federais e instalações críticas. A CISA recomenda:
A empresa de fintech nativa em blockchain Figure Technology Solutions sofreu um vazamento afetando quase 1 milhão de contas. O ataque foi executado via engenharia social.
A Figure, que desbloqueou mais de US$ 22 bilhões em home equity com mais de 250 parceiros, incluindo bancos, cooperativas de crédito e fintechs, confirmou o incidente ao TechCrunch. Os atacantes usaram phishing de voz (vishing) para enganar um funcionário a fornecer acesso.
O grupo de extorsão ShinyHunters vazou 2,5GB de dados de milhares de solicitantes de empréstimo em seu site na dark web. Isso faz parte de uma campanha maior visando contas SSO na Okta, Microsoft e Google em mais de 100 organizações de alto perfil.
Os atacantes se passam por suporte de TI, ligam para funcionários e os enganam para inserir credenciais e códigos MFA em sites de phishing que imitam portais de login da empresa. Uma vez dentro, ganham acesso a aplicações empresariais conectadas, incluindo Salesforce, Microsoft 365, Google Workspace, Slack e Dropbox.
Pesquisadores da OX Security descobriram múltiplas vulnerabilidades em quatro extensões populares do VS Code. Três CVEs permanecem sem correção.
"Um hacker precisa apenas de uma extensão maliciosa, ou uma única vulnerabilidade dentro de uma extensão, para realizar movimento lateral e comprometer organizações inteiras", alertaram os pesquisadores.
| CVE | Extensão | CVSS | Impacto |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltração de arquivos locais via site malicioso |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Execução arbitrária de JavaScript via arquivo .md |
| CVE-2025-65715 | Code Runner | 7.8 | Execução arbitrária de código via settings.json |
| — | Microsoft Live Preview | — | Exfiltração de arquivos sensíveis (corrigido na v0.4.16) |
Um bug no Microsoft 365 Copilot vem fazendo com que o assistente de IA resuma e-mails confidenciais, contornando políticas de prevenção contra perda de dados (DLP) que protegem informações sensíveis.
Rastreado como CW1226324, este bug afeta o recurso de chat da "guia de trabalho" do Copilot. Ele lê e resume incorretamente e-mails nas pastas Itens Enviados e Rascunhos — incluindo mensagens com rótulos de confidencialidade explicitamente projetados para restringir o acesso por ferramentas automatizadas.
A Microsoft declarou: "Isso não forneceu a ninguém acesso a informações que já não estavam autorizados a ver... Uma atualização de configuração foi implementada mundialmente para clientes corporativos."
Revise os logs de atividade do Copilot para o período desde 21 de janeiro. Verifique se conteúdo rotulado com sensibilidade não foi inadvertidamente incluído em resumos do Copilot compartilhados além dos destinatários pretendidos.
O Texas processou a TP-Link Systems, acusando a empresa de comercializar enganosamente roteadores como seguros enquanto permite que hackers apoiados pelo Estado chinês explorem vulnerabilidades de firmware.
651 prisões em 16 países africanos. Recuperados mais de US$ 4,3 milhões. A operação visou fraude de investimento, golpes de dinheiro móvel e aplicativos de empréstimo fraudulentos ligados a perdas de US$ 45 milhões.
A ESET descobriu malware Android que usa a IA Gemini do Google para manter persistência. O malware aproveita IA generativa para analisar telas e gerar instruções passo a passo para se manter fixado em aplicativos recentes.
Sentenciado por hackear múltiplas empresas de preparação de impostos em Massachusetts e arquivar declarações fraudulentas buscando mais de US$ 8,1 milhões em reembolsos.
| Métrica | Valor |
|---|---|
| Contas afetadas no vazamento da Figure | 967.200 |
| Severidade CVE Honeywell (CVSS) | 9.8 |
| Downloads de extensões VS Code em risco | Mais de 125M |
| Duração do bypass DLP do Copilot | ~30 dias |
| Prisões da INTERPOL (Op Red Card 2.0) | 651 |
| Organizações visadas pelos ShinyHunters | Mais de 100 |
Gerenciamento de vulnerabilidades alimentado por IA com mais de 333.000 CVEs indexadas.
Iniciar Varredura GratuitaPermaneça seguro. Permaneça vigilante.
🗡️ Equipe de Segurança KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →