Login Inscreva-se
Newsletter

Pacific News #272: A Voz no Deserto

Pacific News #272: A Voz no Deserto

Assunto do momento:  Microsoft Edge armazena seus passwords em texto limpo

O que aconteceu? O pesquisador de cibersegurança Tom Jøran Sønstebyseter Rønning descobriu que o gerenciador de senhas do navegador Microsoft Edge não armazena credenciais de forma segura, sendo possível recuperá-las em texto limpo da memória.  

Por que isso importa? O Edge carrega todas as senhas armazenadas na memória, inclusive de sites que o usuário sequer visitou na sessão. As credenciais permanecem em texto limpo na memória por tempo indeterminado, em vez de serem decriptadas apenas no momento do uso e descartadas em seguida.

A prova de conceito: Após criar uma conta com o password “Klartext-PW-Test”, Tom reiniciou o navegador Microsoft Edge. Através do Gerenciador de Tarefas, foi gerado um “dump de memória”, onde foi possível ler a senha “Klartext-PW-Test” sendo passada em texto limpo. 

A classificação: O comportamento se enquadra no CWE-316, "Armazenamento de Informações Sensíveis em Texto Limpo na Memória", uma categoria de vulnerabilidade que a indústria considera obsoleta e evitável há anos.

Saiba mais: Tom Jøran Sønstebyseter Rønning publicou seus achados através de uma postagem em sua conta no X, antigo Twitter. Além disso, a prova de conceito, bem como a ferramenta utilizada para exfiltrar as informações, foi disponibilizada em um repositório no GitHub.

Lei aumenta penas para crimes com celulares e fraudes digitais

O que aconteceu? O governo sancionou lei que endurece as penas para furto, roubo e receptação de celulares e amplia o foco para crimes digitais ligados a esses dispositivos, como fraudes bancárias e golpes online.

Por que isso importa? O celular virou o principal vetor de crimes financeiros. Com apps bancários, autenticação e dados pessoais concentrados no aparelho, o roubo físico frequentemente evolui para fraudes digitais. A nova lei tenta atingir toda essa cadeia.

O que muda? 

  • Roubo/furto de celulares e eletrônicos: 4 a 10 anos de prisão mais multa
  • Fraudes bancárias via dispositivos: 4 a 10 anos de prisão  
  • Golpes digitais: 4 a 8 anos de prisão mais multa
  • Receptação de aparelhos roubados: 2 a 6 anos de prisão mais multa
  • Ceder conta laranja para movimentação de recursos: 1 a 5 anos de prisão mais multa

Saiba mais: A lei também cobre fraudes feitas via mensagens, ligações, redes sociais e clonagem de dispositivos ou aplicativos. Além disso, inclui crimes contra infraestrutura de telecom, como roubo de cabos, com penas de 2 a 4 anos de prisão.

OpenAI lança modo de segurança avançado para contas em risco

O que aconteceu? A OpenAI está adicionando uma camada extra de segurança para usuários preocupados com acessos indevidos às suas contas do ChatGPT e do Codex. O recurso, chamado Segurança Avançada de Conta, introduz controles de acesso mais rigorosos, dificultando significativamente ataques de sequestro de conta (account takeover).

Por que isso importa? Embora não seja uma inovação radical em termos de segurança, a rápida expansão dos serviços de IA no mundo torna urgente a adoção de proteções básicas mais robustas para os usuários.

Como funciona o recurso? Usuários que ativarem a Segurança Avançada de Conta precisarão configurar duas chaves de segurança físicas ou métodos equivalentes de autenticação. O recurso elimina o uso de e-mail e SMS para recuperação de conta. Em vez disso, os usuários devem utilizar chaves de recuperação, senhas de backup ou dispositivos físicos de autenticação. Não será mais possível recorrer ao suporte da OpenAI para recuperação de conta, reduzindo riscos de ataques de engenharia social. Sessões de login passam a ser mais curtas, exigindo autenticação mais frequente. Alertas são gerados sempre que houver um novo login, direcionando o usuário para revisar sessões ativas no ChatGPT e no Codex. Para usuários com esse recurso ativado, a exclusão do uso de conversas para treinamento de modelos já vem habilitada por padrão.

Saiba mais: Segundo a OpenAI, em publicação oficial: “Com o tempo, uma conta do ChatGPT pode conter informações pessoais e profissionais sensíveis e estar no centro de ferramentas e fluxos de trabalho conectados. Para algumas pessoas, como jornalistas, autoridades eleitas, dissidentes políticos, pesquisadores e aqueles que são especialmente preocupados com a segurança, os riscos são ainda maiores.”

Papo Rápido

@Ataques

A DigiCert, uma Autoridade Certificadora (CA) global, foi comprometida através de um arquivo de captura de tela, distribuído por engenharia social em seu canal de suporte. O atacante conseguiu acesso aos sistemas internos até ter sua intrusão bloqueada. (HelpNetSecurity)

Desde quinta-feira, os servidores operados pelo Ubuntu e sua empresa controladora, a Canonical permanecem fora do ar, o que tem prejudicado a comunicação da provedora do sistema operacional. Um grupo atrelado ao governo iraniano reivindicou a autoria da interrupção a partir de um ataque DDoS. (Arstechnica)

@Atualizações

A Apache lançou atualizações para mais de uma dúzia de vulnerabilidades em servidores HTTP e MINA, incluindo uma falha crítica que está sendo explorada para execução remota de código, a CVE-2026-23918. (SecurityWeek)

O Google corrigiu uma falha crítica identificada como CVE-2026-0073 que afeta o componente Sistema do Android. A exploração da vulnerabilidade não exige interação do usuário e permite que um invasor execute código como o usuário shell sem privilégios de execução adicionais. (Forbes)

@Mundo

O Serviço Nacional de Saúde britânico (NHS) está trocando todos os seus projetos open-source de públicos para privados. O motivo são preocupações com o avanço da IA e, especialmente, o Mythos, da Anthropic. De acordo com representantes do NHS, repositórios abertos estão sujeitos a vazamento de código fonte, informações contextuais que podem ser exploradas e ingestão de código. (TheRegister)

Pesquisadores da Universidade Nacional de Singapura e da Fudan University desenvolveram o ARuleCon, uma ferramenta baseada em IA que traduz regras de detecção entre diferentes SIEMs. Com isso, o ARuleDCon possibilita exportar regras de um SIEM e usar em outros, como Splunk, Microsoft Sentiel, QRadar, RSA Witness e outros. (TheRegister)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Veja mais