Pacific News #289: O homem em chamas

Pacific News #289: O homem em chamas

Assunto do momento: Pesquisador usa Claude para ganhar acesso à maior bilheteria de festivais dos EUA 

O que aconteceu? Ian Carroll, um pesquisador de cibersegurança, usou o Claude Opus 4.7 para ganhar acesso irrestrito aos sistemas da Front Gate Tickets, plataforma que cuida da bilheteria de, praticamente, todos os festivais de músicas nos Estados Unidos. 

Por que isso importa? Ao explorar a falha com a ajuda do modelo de linguagem, Carroll tinha poderes para emitir ingressos irrestritamente. Até tickets que custavam 4 mil dólares poderiam ser emitidos de forma ilimitada. 

O desenrolar: Ian, entretanto, não aproveitou da falha para assistir seus shows preferidos, mas reportou o achado para a plataforma que, em menos de 24 horas, corrigiu a falha e agradeceu ao pesquisador. 

A resposta da empresa: Através de um porta-voz, a empresa esclareceu que a API afetada não ficava exposta ao público e que a trilha de auditoria da plataforma era robusta, alegando que qualquer bilhete emitido sem a devida autorização iria ser detectado e cancelado antes de poder ser usado.

Sim, mas: Ian Carroll, por outro lado, diz que a Front Gate não possui evidência que essa vulnerabilidade já não foi explorada anteriormente.

Sobre a falha: Uma injeção de SQL que estava sendo negada pelo WAF da Front Gate. O Claude, entretanto, conseguiu criar um payload capaz de contornar o firewall, uma query “nested” que permitiu acesso ao banco de dados da Front Gate. Com esse acesso, Carroll também conseguiu personificar um “super admin” da plataforma, ganhando acesso irrestrito.


Proteção contra bots em reuniões do Microsoft Teams

O que aconteceu? A Microsoft lançou uma proteção contra bots na plataforma de colaboração Teams que agora pode bloquear o acesso de bots a reuniões e solicitar que os administradores autorizem bots específicos caso a caso. 

Por que isso importa? O recurso foi projetado para impedir a atuação de scrapers baseados em IA, permitindo, ao mesmo tempo, o uso de assistentes de reunião e aplicativos de anotações.

Saiba mais: Outros controles administrativos estão sendo considerados incluindo listas de permissão para bots aprovados; políticas para toda a organização visando bloquear totalmente bots externos; relatórios administrativos e registros de auditoria sobre a detecção e a presença de bots e controles mais granulares, alinhados a diferentes requisitos de segurança.


Papo Rápido

@Ataques

A CISA confirmou que atacantes já exploram a vulnerabilidade CVE-2026-45659, uma falha de execução remota de código no SharePoint que permite a invasores com privilégios mínimos executar código arbitrário em servidores sem correção, sem necessidade de interação do usuário. (BleepingComputer)

Um ataque automatizado de password spraying, originado de uma faixa de endereços IPv6 controlada pela LSHIY LLC, gerou mais de 81 milhões de tentativas de login no Azure CLI entre 12 e 26 de junho, comprometendo 78 contas em 64 organizações (TheHackerNews).

@Atualizações

O governo americano encerrou a suspensão que impedia o acesso aos modelos mais avançados da Anthropic, permitindo que o Claude Fable 5 volte a ficar amplamente disponível, enquanto o Mythos 5 retorna de forma restrita apenas a organizações americanas aprovadas pelo governo federal. (SecurityWeek)

@Mundo

A Índia deu três dias para o WhatsApp justificar o lançamento global do recurso de "usernames", que permite iniciar conversas sem expor o número de telefone, e exigiu a suspensão do rollout até receber aprovação oficial. O Ministério de Eletrônica e TI do país teme que a novidade facilite golpes de phishing e a impersonificação de autoridades.  (TheRegister)

O banco de dados de compartilhamento de informações do Departamento de Segurança Interna (DHS) dos EUA foi acessado por um agente de ameaça desconhecido nas últimas semanas, expondo potencialmente dados sensíveis trocados entre parceiros federais, estaduais, locais e do setor privado. (NextGov)


Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa