CISA alerta sobre vulnerabilidade crítica de CCTV Honeywell (CVSS 9.8) permitindo acesso não autorizado. Violação fintech Figure expõe quase 1 milhão de contas via engenharia social. Quatro extensões VS Code com 125M+ downloads contêm falhas críticas. Bug Microsoft Copilot contorna políticas DLP desde janeiro.
CISA está alertando sobre uma vulnerabilidade crítica em vários produtos CCTV Honeywell usados em infraestrutura crítica. Atacantes podem sequestrar contas e acessar feeds de câmeras sem autenticação.
Descoberto pelo pesquisador Souvik Kanda, CVE-2026-1670 é classificado como "autenticação ausente para função crítica". A falha permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, permitindo aquisição completa da conta.
| Modelo | Versão do Firmware |
|---|---|
| I-HIB2PI-UL 2MP IP | 6.1.22.1216 |
| SMB NDAA MVO-3 | WDR_2MP_32M_PTZ_v2.0 |
| PTZ WDR 2MP 32M | WDR_2MP_32M_PTZ_v2.0 |
| 25M IPC | WDR_2MP_32M_PTZ_v2.0 |
Essas câmeras compatíveis com NDAA são implantadas em agências governamentais dos EUA, contratados federais e instalações críticas. CISA recomenda:
Empresa fintech nativa de blockchain Figure Technology Solutions sofreu violação afetando quase 1 milhão de contas. O ataque foi executado via engenharia social.
Figure, que desbloqueou mais de $22 bilhões em patrimônio residencial com 250+ parceiros incluindo bancos, cooperativas de crédito e fintechs, confirmou o incidente ao TechCrunch. Os atacantes usaram phishing por voz (vishing) para enganar um funcionário a fornecer acesso.
O grupo de extorsão ShinyHunters vazou 2,5GB de dados de milhares de solicitantes de empréstimo em seu site da dark web. Isso faz parte de uma campanha maior visando contas SSO na Okta, Microsoft e Google em 100+ organizações de alto perfil.
Atacantes se passam por suporte de TI, ligam para funcionários e os enganam para inserir credenciais e códigos MFA em sites de phishing que imitam portais de login da empresa. Uma vez dentro, eles ganham acesso a aplicativos empresariais conectados incluindo Salesforce, Microsoft 365, Google Workspace, Slack e Dropbox.
Pesquisadores da OX Security descobriram várias vulnerabilidades em quatro extensões populares do VS Code. Três CVEs permanecem sem patch.
"Um hacker precisa apenas de uma extensão maliciosa, ou uma única vulnerabilidade dentro de uma extensão, para realizar movimento lateral e comprometer organizações inteiras", alertaram os pesquisadores.
| CVE | Extensão | CVSS | Impacto |
|---|---|---|---|
| CVE-2025-65717 | Live Server | 9.1 | Exfiltração de arquivo local via site malicioso |
| CVE-2025-65716 | Markdown Preview Enhanced | 8.8 | Execução JavaScript arbitrária via arquivo .md |
| CVE-2025-65715 | Code Runner | 7.8 | Execução de código arbitrário via settings.json |
| — | Microsoft Live Preview | — | Exfiltração de arquivo sensível (corrigido em v0.4.16) |
Um bug do Microsoft 365 Copilot tem causado o assistente de IA a resumir e-mails confidenciais, contornando políticas de prevenção de perda de dados (DLP) que protegem informações sensíveis.
Rastreado como CW1226324, este bug afeta o recurso de chat "work tab" do Copilot. Ele lê e resume incorretamente e-mails em pastas de Itens Enviados e Rascunhos — incluindo mensagens com rótulos de confidencialidade explicitamente projetados para restringir acesso por ferramentas automatizadas.
Microsoft declarou: "Isso não forneceu a ninguém acesso a informações que não estavam já autorizados a ver... Uma atualização de configuração foi implantada mundialmente para clientes empresariais."
Revise logs de atividade do Copilot para o período desde 21 de janeiro. Verifique se conteúdo rotulado com sensibilidade não foi inadvertidamente incluído em resumos do Copilot compartilhados além dos destinatários pretendidos.
Texas processou TP-Link Systems, acusando a empresa de comercializar enganosamente roteadores como seguros enquanto permitia hackers apoiados pelo Estado chinês explorar vulnerabilidades de firmware.
651 prisões em 16 países africanos. Recuperados mais de $4,3 milhões. Operação visou fraude de investimento, golpes de mobile money e apps de empréstimo fraudulentos ligados a $45 milhões em perdas.
ESET descobriu malware Android que usa IA Gemini do Google para manter persistência. O malware aproveita IA generativa para analisar telas e gerar instruções passo a passo para se manter fixado em apps recentes.
Sentenciado por hackear várias empresas de preparação fiscal em Massachusetts e arquivar declarações fraudulentas buscando mais de $8,1 milhões em reembolsos.
| Métrica | Valor |
|---|---|
| Contas afetadas na violação Figure | 967.200 |
| Gravidade CVE Honeywell (CVSS) | 9.8 |
| Downloads de extensão VS Code em risco | 125M+ |
| Duração do bypass DLP do Copilot | ~30 dias |
| Prisões INTERPOL (Op Red Card 2.0) | 651 |
| Organizações visadas por ShinyHunters | 100+ |
Gestão de vulnerabilidades alimentada por IA com 333.000+ CVEs indexados.
Iniciar Scan GratuitoMantenha-se seguro. Mantenha-se vigilante.
🗡️ Equipe de Segurança KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →