PacificNews#231: The shoulder of a giant
Consolidação do mercado de VPNs aumenta preocupações com a privacidade dos usuários de iPhone
O setor de redes privadas virtuais (VPNs) atravessa uma fase de forte reestruturação que impacta diretamente a forma como usuários de iPhone protegem seus dados pessoais. Uma série de aquisições corporativas vem concentrando o controle do mercado em um número reduzido de empresas, o que tem gerado preocupações sobre transparência, governança e segurança da informação.
Um dos casos mais emblemáticos envolve a Kape Technologies, empresa com origem no adware Crossrider, que passou a controlar serviços populares como ExpressVPN, Private Internet Access e CyberGhost. Juntas, essas plataformas atendem milhões de usuários em diversos países, ampliando o alcance da empresa no setor de privacidade digital.
Após a aquisição da ExpressVPN pela Kape, o ex-oficial de inteligência dos Estados Unidos Daniel Gericke assumiu o cargo de diretor de tecnologia (CTO). Ele permaneceu na função por dois anos, mesmo após ter sido multado em mais de US$ 300 mil pelo Departamento de Justiça norte-americano por participação em atividades de hacking a serviço de um governo estrangeiro. Posteriormente, a propriedade foi transferida para a Unikmind Holdings Limited, controlada pelo bilionário israelense Teddy Sagi, fundador da Playtech, empresa especializada em softwares para jogos de azar. Essa sucessão de mudanças no comando agravou a percepção de instabilidade em um setor no qual a confiança é considerada essencial.
Diante desse cenário, auditorias de segurança independentes passaram a desempenhar papel central na avaliação da credibilidade das VPNs. Provedores como ProtonVPN e NordVPN passaram por inspeções técnicas de terceiros e tiveram suas políticas de não registro de logs colocadas à prova em processos judiciais, nos quais foram incapazes de fornecer dados de usuários, reforçando suas alegações de privacidade.
Outro fator de preocupação foi apontado em relatório do Tech Transparency Project, que identificou aplicativos de VPN disponíveis para iPhone com vínculos diretos ou indiretos com o governo chinês, evidenciando a dimensão geopolítica envolvida no uso dessas tecnologias.
Com a contínua consolidação do mercado, especialistas apontam que critérios como auditorias independentes, histórico jurídico e transparência corporativa tornam-se determinantes na escolha de serviços de VPN. O setor passa a se dividir entre grandes soluções comerciais, fortemente orientadas por marketing e expansão, e alternativas que priorizam a proteção de dados e o controle do usuário.
Para os milhões de usuários de iPhone que recorrem a VPNs como ferramenta de segurança digital, a recomendação é clara: avaliar não apenas velocidade e funcionalidades, mas também quem está por trás desses serviços e quais interesses orientam suas políticas de privacidade.
Seu servidor Next.js pode ser tirado do ar de forma simples e quase sem custos
Pesquisadores de cibersegurança descobriram uma falha em servidores Next.js que permite com que qualquer pessoa tire-os do ar de uma forma extremamente simples. Essa falha foi descoberta de forma acidental, onde um agente de inteligência artificial de AppSec foi encarregado de buscar por uma vulnerabilidade de contorno de autorização no Next.js, através de uma aplicação de demonstração executando uma versão supostamente vulnerável do Next. O curioso? Durante os testes a aplicação caía toda hora. O que levou à descoberta: uma vulnerabilidade de negação de serviço em versões específicas do Next.js que é extremamente barato de executar.
A vulnerabilidade descoberta está presente na função “cloneBodyStream” no arquivo “body-stream.ts”, responsável por copiar uma requisição transmitida para a memória antes de repassá-la ao middleware. Como não há limites para o tamanho desse stream, um fluxo grande o suficiente fará o servidor ficar sem memória e travar.
O servidor copia a requisição inteira para a memória, mas um atacante pode simplesmente enviar um fluxo infinito de chunks e liberar cada chunk da memória imediatamente após enviá-lo. Essa assimetria extrema no uso de memória é o que torna o ataque tão barato, podendo ser executado a partir de um Raspberry Pi ou até mesmo um dispositivo IoT, por exemplo.
Essa vulnerabilidade chama a atenção pela popularidade do framework: cerca de 3 milhões de aplicações conhecidas e expostas na internet utilizam o Next.js; destas, cerca de 2 milhões são autogerenciados, que é onde pode residir esta vulnerabilidade.
A mitigação pode vir de duas formas: na versão atualizada do Next.js, a saber, 15.5.5, 16.0.0 ou qualquer outra mais recente, ou através de um proxy reverso configurado de forma correta, impondo limites de tamanho para as requisições; apenas um rate limiting não é suficiente. Por exemplo, o valor padrão client_max_body_size de 1 MB no nginx normalmente impede a exploração desse tipo de ataque. Além disso, é importante garantir que o servidor da aplicação não pode ser acessado diretamente e que todo o tráfego passe pelo proxy.
Ataque cibernético afeta milhares de moradores em Londres
Três conselhos municipais de Londres, Kensington and Chelsea (RBKC), Westminster (WCC) e Hammersmith and Fulham (LBHF) sofreram interrupções graves em seus sistemas de TI após um ataque cibernético que afetou parte da infraestrutura compartilhada entre eles. A interrupção simultânea tirou linhas telefônicas do ar e paralisou serviços essenciais, forçando a ativação de planos de emergência.
O problema se propagou rapidamente porque RBKC e WCC operam sobre a mesma base tecnológica. O conselho de Hammersmith and Fulham, que compartilha apenas parte dessa infraestrutura, optou por isolar seus sistemas como medida preventiva, o que resultou em interrupções adicionais. Ao todo, mais de 360 mil residentes ficaram temporariamente sem acesso a serviços online, enquanto equipes especializadas em segurança cibernética, junto com o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), trabalhavam para conter o incidente e restaurar os sistemas afetados.
As autoridades confirmaram que o ataque ocorreu na segunda-feira e que, até o momento, não há informações sobre os responsáveis ou sobre possíveis dados comprometidos. A RBKC notificou o Escritório do Comissário de Informação do Reino Unido (ICO), conforme os protocolos estabelecidos, e os conselhos orientam que os moradores usem números de telefone alternativos disponíveis em seus sites oficiais, garantindo contato com os serviços municipais enquanto os sistemas permanecem fora do ar.
Atualizações oficiais serão divulgadas assim que houver mais informações sobre a extensão do incidente e as medidas adotadas para proteger os moradores e os serviços municipais.
Patches & Updates
Crowdstrike: A empresa de cibersegurança Crowdstrike demitiu um insider que foi pego vendendo capturas de tela de seu computador para cibercriminosos do grupo Scattered Lapsus$ Hunters. Os prints incluíam diversos dashboards da companhia, incluindo um link para o painel de SSO da Okta. Com as capturas de tela em mãos, os atacantes alegavam que tinham ganhado acesso aos sistemas internos da Crowdstrike, através da exploração do Gainsight, um fornecedor terceirizado usado para gerenciamento de clientes. Na semana passada, os agentes de ameaça comprometeram muitos Salesforce através do Gainsight, mas a Crowdstrike afirmou que não houve comprometimento em sua organização, tão somente os prints compartilhados. “Nós identificados e demitimos um insider suspeito no mês passado, após investigações demonstrarem que ele compartilhou fotos de seu computador externamente”, disse um porta-voz da Crowdstrike.
WhatsApp: A Meta corrigiu a falha que permitiu com que pesquisadores identificassem mais de 3.5 bilhões de contas do WhatsApp. Isso acontecia porque a API do WhatsApp se comunicava com qualquer programa identificando se um número de telefone fornecido existia e tinha uma conta de WhatsApp atrelado a ele ou não. O problema é que isso permitia um volume massivo de requisições – 100 milhões de números por hora – e, consequentemente, a enumeração de contas válidas. Para corrigir, a Meta implementou limitadores de taxa mais estritos.
Microsoft: A big tech planeja aprimorar a segurança do sistema de autenticação Entra ID contra ataques de injeção de scripts externos a partir de meados ou final de outubro de 2026. O plano é implementar uma Política de Segurança de Conteúdo (CSP) reforçada, que permitirá o download de scripts somente de domínios de redes de distribuição de conteúdo (CDN) confiáveis da Microsoft e a execução de scripts embutidos somente de fontes confiáveis da Microsoft durante o login.
Destaques pelo mundo
Scanner: A GreyNoise Labs, empresa de monitoramento de ameaças, lançou a tool GreyNoise IP Check, que permite aos usuários verificar, sem custos, se seus endereços IP foram detectados em operações maliciosas de varredura, como botnets e redes de proxies residenciais. Segundo a companhia, "Às vezes, as pessoas instalam softwares que fazem isso conscientemente em troca de alguns dólares. Mais frequentemente, o malware se infiltra nos dispositivos, geralmente por meio de aplicativos maliciosos ou extensões de navegador, e os transforma silenciosamente em nós na infraestrutura de terceiros."
Maven: A Socket Research Team identificou um pacote no Maven Central chamado org.mvnpm:posthog-node:4.18.1 que incorpora os mesmos dois componentes associados ao Shai-Hulud: o carregador "setup_bun.js" e o payload principal "bun_environment.js". O Maven Central afirmou estar trabalhando para implementar proteções adicionais a fim de impedir que componentes npm já comprometidos sejam recompilados.
ShadowV2: Uma nova botnet baseada no Mirai está sendo observada por pesquisadores de cibersegurança. Conhecida como “ShadowV2”, esta rede de bots tem alvejado dispositivos IoT de marcas como D-Link, TP-Link e similares. Seu pico de atividade foi registrado durante as indisponibilidades da AWS em outubro, de acordo com o FortiGuard Labs, que explica que os incidentes não estão conectados, mas que aproveitaram a deixa para atuarem e fazer um grande teste. O ShadowV2 foi visto explorando falhas conhecidas, como a CVE-2009-2765, CVE-2023-52163 e CVE-2024-53375, por exemplo, impactando dispositivos que não são atualizados com frequência. Até o momento, o impacto é global, com ataques observados na América do Norte, América do Sul, Europa, África, Ásia e Austrália.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
