PacificNews#184: The Post
Suspeito de atirar em legisladora norte-americana teria usado corretoras de dados para localizá-la
O atirador acusado de assassinar a deputada estadual de Minnesota Melissa Hortman e seu marido, Mark Hortman, no sábado, pode ter obtido os endereços das vítimas e outras informações pessoais através de serviços de corretagem de dados online. Vance Boelter, de 57 anos, o suspeito no caso, é acusado de atirar no casal em sua residência.
Documentos judiciais revelam que a polícia encontrou cadernos no SUV de Boelter, incluindo listas manuscritas de mais de 45 autoridades públicas estaduais e federais de Minnesota. Um dos cadernos também continha uma lista de 11 plataformas tradicionais de busca, supostamente utilizadas para encontrar endereços residenciais e outras informações pessoais, como números de telefone e nomes de parentes.
"O assassino acusado de Minneapolis supostamente usou corretores de dados como parte fundamental de seu plano para rastrear e assassinar legisladores democratas", declarou Ron Wyden, senador do Oregon, à revista WIRED. "O Congresso não precisa de mais provas de que pessoas estão sendo mortas com base em dados à venda para qualquer um com um cartão de crédito. A segurança de todos os americanos está em risco até que o Congresso reprima essa indústria sórdida."
O ataque de sábado, que chocou tanto a opinião pública quanto a classe política, intensifica a urgência da antiga questão sobre como proteger dados pessoais sensíveis online. "Estes não são os primeiros assassinatos instigados pela indústria de corretores de dados. Mas a maioria dos alvos anteriores eram vítimas relativamente desconhecidas de perseguição e abuso", alegou Evan Greer, vice-diretor do grupo de direitos digitais Fight for the Future.
A crescente preocupação com a facilidade com que informações pessoais podem ser obtidas através de corretores de dados levanta questões sérias sobre a privacidade e segurança de indivíduos, especialmente figuras públicas. O incidente com a deputada Hortman pode servir como um divisor de águas, forçando um debate mais rigoroso sobre a regulamentação dessas empresas.
Jornalistas do Washington Post têm contas comprometidas em ataque cibernético
O jornal The Washington Post, que possui a maior circulação na capital dos Estados Unidos, Washington, foi alvo de um ataque cibernético que resultou no comprometimento de contas de e-mail corporativas da Microsoft pertencentes a alguns de seus jornalistas.
Em um memorando interno, que foi divulgado no dia 15 de junho, o diretor executivo do jornal, Matt Murray, informou que, assim que o ataque foi identificado, no dia 13 de junho, as credenciais de todos os colaboradores foram redefinidas como medida de segurança.
Segundo o comunicado oficial feito pelo jornal, somente alguns jornalistas tiveram suas contas comprometidas, especialmente aqueles que cobrem segurança nacional, economia e também que escrevem sobre diversos países ao redor do mundo, incluindo China.
As investigações ainda estão em andamento, e não há confirmação sobre a autoria nem a extensão completa do ataque. No entanto, as operações jornalísticas do Washington Post não foram interrompidas.
Pelo modus operandi do ataque e pelo perfil dos alvos escolhidos, há suspeitas de que o incidente tenha sido conduzido por um agente estatal estrangeiro. A hipótese ganha força por semelhanças com um ciberataque ocorrido em fevereiro de 2022 contra a News Corp, conglomerado de mídia responsável pelo The Wall Street Journal. Na ocasião, os invasores, com supostos vínculos com um governo estrangeiro, buscavam realizar espionagem cibernética e coletar informações sensíveis.
Assim como o Washington Post, o Wall Street Journal também é conhecido por sua cobertura aprofundada de temas econômicos, políticos e de relações internacionais.
Patches & Updates
Grafana:
Mais de 46.000 instâncias do Grafana continuam desatualizadas e expostas na internet em virtude de uma vulnerabilidade de open redirect no lado do cliente, que permite a execução de um plugin malicioso e, consequentemente, a tomada de uma conta. A falha, conhecida como CVE-2025-4123, já foi corrigida em 21 de maio de 2025, mas cerca de 1/3 das instâncias continuam desatualizadas e expostas. Vale destacar que a exploração desta falha de segurança não requer privilégios elevados e pode funcionar até mesmo em um acesso anônimo, permitindo que um atacante sequestre a sessão de um usuário autenticado, troque as credenciais e até mesmo leia recursos internos através de um SSRF.
Nessus:
A Tenable lançou patches de segurança para corrigir três vulnerabilidades no seu agente Nessus, para Windows. Estas falhas poderiam ser exploradas para executar código com privilégios elevados. A primeira falha, CVE-2025-36631, permite a usuários conectados em contas não administrativas sobrescreverem arquivos locais arbitrários do sistema com conteúdo de log, com privilégios elevados. A segunda, CVE-2025-36632, permite que usuários não administrativos executem código arbitrário com privilégios de sistema. Finalmente, a terceira, CVE-2025-36633, permite que usuários sem privilégios administrativos excluam arbitrariamente arquivos locais do sistema, também com privilégios de sistema. As falhas impactam as versões 10.8.4 e anteriores do Nessus para Windows. Atualizem já para a versão 10.8.5!
Zyxel Firewall:
A CVE-2023-28771 (pontuação CVSS de 9,8) explorada em um ataque coordenado contra a infraestrutura crítica da Dinamarca há dois anos, está novamente na mira dos invasores. Trata-se de um problema de tratamento inadequado de mensagens de erro que pode ser explorado para executar comandos do sistema operacional remotamente. Há suspeitas de que as tentativas de exploração estejam associadas a uma variante da botnet Mirai. As organizações devem garantir que seus dispositivos Zyxel estejam corrigidos contra a CVE-2023-28771 e outras vulnerabilidades conhecidas, aplicar filtragem de rede para reduzir a exposição desnecessária à porta 500 e monitorar os dispositivos em busca de comportamento anômalo.
TP-LINK:
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu uma vulnerabilidade crítica em roteadores Wi-Fi da TP-Link em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), após identificar indícios de exploração ativa. Trata-se da CVE-2023-33538 (classificação CVSS: 8,8), uma falha de injeção de comandos que permite a execução de instruções arbitrárias no sistema ao manipular o parâmetro ssid1 em uma requisição HTTP GET maliciosa. Segundo a agência, os modelos TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 e TL-WR740N V1/V2 são afetados por essa brecha no componente /userRpm/WlanNetworkRpm. Há possibilidade de os produtos afetados chegarem ao fim de sua vida útil (EoL) e/ou fim de seu serviço (EoS), assim recomendamos aos usuários que interrompam seu uso caso não haja medidas de mitigação disponíveis.
Destaques pelo mundo
Wiz:
O Departamento de Justiça norte-americano fará uma revisão antitruste sobre a aquisição planejada de US$32 bilhões da startup de segurança em nuvem Wiz pelo Google. O objetivo será avaliar se o acordo prejudicaria a concorrência no mercado de segurança cibernética. A plataforma Wiz é usada para escanear ambientes de nuvem, construir um gráfico abrangente de código, recursos e conexões, além de identificar possíveis caminhos de ataque e priorizar os riscos com base no impacto.
WestJet:
A companhia aérea canadense foi vítima de um ataque cibernético na sexta-feira que interrompeu alguns sistemas internos e impactou o acesso ao aplicativo e ao site da empresa. Até o momento, não está claro se a interrupção foi causada por ransomware. Com sede em Calgary, Alberta, a WestJet opera voos regulares, fretados e de carga. É a segunda maior companhia aérea canadense e a oitava maior da América do Norte em termos de frequência de voos.
Zoomcar:
A plataforma indiana de locação de veículos, Zoomcar Holdings, revelou um incidente cibernético que vazou dados de mais de 8 milhões de usuários. A detecção do incidente aconteceu no dia 09 de junho, após o agente malicioso enviar um email para funcionários da organização alertando sobre o ataque cibernético. Não houve interrupção de serviços durante o ataque, mas dados como nome completo, telefone, registro do veículo, endereço residencial e de email foram comprometidos. A Zoomcar afirmou que não há evidência material para sustentar vazamento de informações de pagamento ou credenciais de seus usuários.
Anubis:
Uma operação de ransomware-as-a-service conhecida como Anubis emergiu no mundo cibernético ao final de 2024 e recebeu um programa de filiação em fevereiro deste ano. Porém, agora em junho, uma funcionalidade chamou a atenção neste serviço: a capacidade de deletar todos os dados. Isto é incomum em operações de ransomware, uma vez que além de criptografar todos os dados, a funcionalidade destrutiva pode impedir completamente a recuperação do sistema afetado. É interessante notar que, uma vez ativado o “modo wipe”, todos os arquivos continuam listados no sistema, mas seu tamanho muda para “0 KB”, indicando que os dados foram todos apagados. Este RaaS possui comandos para elevação de privilégio, exclusão de diretórios e criptografia de seu alvo, além de evitar pastas chave do sistema. Isto demonstra como o cenário de ameaças está em constante evolução e devemos ficar atentos a indicadores de comprometimento deste novo agente malicioso.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
