The Watchdogs
Imagens de nudez vazam da base de startup geradora de imagens por IA
O banco de dados de uma startup de geração de imagens por IA foi exposto na internet, tornando acessível mais de 1 milhão de imagens e vídeos. Este acervo chocante incluía fotos de pessoas reais que foram artificialmente despidas, possivelmente sem consentimento, com uma preocupante inclusão de menores de idade.
O pesquisador de segurança Jeremiah Fowler identificou a falha em outubro. Diversos sites (como MagicEdit e DreamPal) pareciam estar utilizando este mesmo banco de dados inseguro. Fowler relata que esta é a terceira vez este ano que ele encontra um banco de dados de IA mal configurado e acessível online. Todos os casos continham imagens explícitas não consensuais, incluindo representações de jovens e crianças.
Existe um enorme e lucrativo ecossistema de serviços de "nudificação" que movimenta milhões de dólares anualmente e é utilizado por milhões de pessoas. Estes serviços empregam IA para "despir" digitalmente indivíduos em fotos, afetando quase que exclusivamente mulheres. Simultaneamente, houve uma duplicação nas denúncias de criminosos que exploram a IA para gerar material de abuso sexual infantil, cobrindo uma vasta gama de imagens indecentes envolvendo crianças, o que agrava drasticamente a crise.
“Tudo o que estamos vendo era totalmente previsível”, diz Adam Dodge, fundador da EndTAB (Ending Technology-Enabled Abuse), que oferece treinamento para escolas e organizações para ajudar a combater o abuso tecnológico. “A motivação subjacente é a sexualização e o controle dos corpos de mulheres e meninas”, afirma. “Este não é um problema social novo, mas estamos vislumbrando como esse problema se manifesta quando potencializado pela IA.”
Agentes de ameaças estão se aproveitando do Notepad++ para acesso inicial
De acordo com o pesquisador de cibersegurança Kevin Beaumont, alguns usuários estão reportando incidentes de segurança em máquinas com o Notepad++ instalado, onde este processo, aparentemente, foi o vetor responsável pelo acesso inicial dos atacantes. Kevin, então, foi pesquisar a respeito.
Em novembro de 2025, houve uma atualização no código do Notepad++ que, segundo as notas de atualização, haviam aumentado a segurança para prevenir que o “Updater” do Notepad++ fosse sequestrado. Essa mudança veio na v8.8.8 do software. Com essa mudança, o domínio de atualização do Notepad++ seria, necessariamente, o repositório do GitHub oficial do projeto.
Acontece que o Notepad++ usa um software feito sob medida, chamado “GUP” ou “WinGUP”, que envia a versão que o usuário está usando para a URL “https://notepad-plus-plus[.]org/update/getDownloadUrl.php” e, na sequência, providencia um arquivo “gup.xml” com a URL correta para a atualização. Este arquivo, então, é salvo no diretório %TEMP% e executado.
O problema é que se um atacante conseguir interceptar e alterar esse tráfego, é possível redirecionar o download para qualquer destino simplesmente modificando a URL na propriedade <Location>. Esperava-se que o tráfego deveria ocorrer via HTTPS, porém, Kevin Beaumont descobriu que é possível manipulá-lo, desde que o invasor esteja no nível do provedor (ISP) e consiga fazer interceptação TLS. Porém, em versões anteriores do Notepad++, esse tráfego era apenas HTTP e com certificado root auto-assinado, disponível no GitHub.
Essa falha foi corrigida na versão 8.8.8 do Notepad++, haja vista que os download são forçadamente executados no GitHub, cuja interceptação é muito mais difícil. Certifiquem de estarem usando a versão atualizada!
Polícia sul-coreana investiga invasão massiva em câmeras IP
Autoridades sul-coreanas seguem investigando esquema responsável pela invasão de mais de 120 mil câmeras em residências e empresas. A polícia nacional prendeu quatro suspeitos responsáveis por coletar e distribuir gravações íntimas, abastecendo um site estrangeiro que lucrava com o conteúdo. A operação mobiliza equipes internacionais para identificar tanto os operadores da plataforma quanto os consumidores do conteúdo.
Segundo o Escritório Nacional de Investigação, os quatro suspeitos tinham perfis distintos e invadiram entre 136 e 70 mil câmeras cada, produzindo centenas de vídeos ilegais, com destaque para dois deles, que foram responsáveis por 62% do conteúdo enviado ao site estrangeiro.Três compradores já foram presos e podem cumprir até três anos de prisão.
As autoridades já notificaram 58 locais afetados, orientando os usuários a redefinir senhas e a solicitar a remoção do conteúdo das plataformas. Especialistas em segurança destacam a importância de manter senhas fortes, atualizar o software das câmeras e desativar acessos remotos quando não utilizados, medidas que ajudam a prevenir novas invasões.
A polícia reforça que visualizar ou possuir vídeos obtidos de forma ilícita também constitui crime e promete atuação rigorosa contra qualquer forma de compartilhamento ou reincidência, destacando o compromisso das autoridades com a proteção das vítimas e a responsabilização dos envolvidos.
Patches & Updates
React: Foi divulgada uma vulnerabilidade afetando o React Server Components (RSC), de máxima criticidade, que, quando explorada com sucesso, resulta em execução remota de código. Conhecida como CVE-2025-55182, a falha possui CVSS 10/10 e ganhou o apelido de “React2Shell”. De acordo com a equipe responsável pelo React, este problema permite a atacantes não autenticados a execução remota de código por explorar uma falha em como o React decodifica payloads enviados aos endpoints de React Server Function e impacta as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes “react-server-dom-webpack”, “react-server-dom-parcel” e “react-server-dom-turbopack” e foi corrigida nas versões 19.0.1, 19.1.2 e 19.2.1.
LNK: A Microsoft corrigiu, de maneira sorrateira, uma falha de segurança que é explorada por agentes maliciosos desde 2017. Conhecida como CVE-2025-9491, a vulnerabilidade possui CVSS 7.7/10 e consiste numa falha de interpretação de arquivos LNK do Windows que pode resultar em execução remota de código. Atores de ameaças se aproveitavam desta falha em diversos ataques, escondendo comandos através de caracteres em branco e se disfarçando de arquivos legítimos. O patch da Microsoft corrige o problema exibindo na janela de Propriedades todo o comando do campo Target, incluindo argumentos, independentemente do tamanho. Porém, esse comportamento pressupõe que podem existir arquivos de atalho com mais de 260 caracteres nesse campo.
WordPress: Agentes maliciosos têm invadido sites WordPress explorando uma vulnerabilidade recente no King Addons for Elementor identificada como CVE-2025-8489 (pontuação CVSS de 9,8). A falha de gravidade crítica é descrita como um problema de escalonamento de privilégios que permite aos atacantes obterem privilégios administrativos.
A vulnerabilidade afeta as versões 24.12.92 a 51.1.14. Os responsáveis pela manutenção do King Addons for Elementor corrigiram o problema na versão 51.1.35 do plugin, lançada em 25 de setembro.
Destaques pelo mundo
Índia: O governo indiano analisa uma proposta da indústria de telecomunicações para obrigar os fabricantes de smartphones a habilitar o rastreamento por satélite na modalidade “sempre ativado”. Essa medida é contestada por Apple, Google e Samsung devido a preocupações com a privacidade.
Intellexa: A fabricante de spyware Intellexa manteve acesso remoto aos sistemas de vigilância de alguns de seus clientes governamentais. Seus funcionários supostamente conseguiam acessar remotamente os sistemas de vigilância de pelo menos alguns clientes por meio do TeamViewer, uma ferramenta comercial que permite aos usuários se conectarem a outros computadores pela internet.
Leroy Merlin: A gigante do setor de materiais de construção, decoração e jardinagem, Leroy Merlin, mandou uma notificação a seus consumidores sobre um vazamento de dados. De acordo com a empresa francesa, que também atua em diversos países europeus, além de África do Sul e Brasil, o incidente afetou apenas clientes na França, expondo nome completo, endereço completo, número de telefone, e-mail, data de nascimento e algumas informações sobre compras. A Leroy Merlin afirmou que informações bancárias ou senhas não foram afetadas, nem tampouco que as informações tenham sido usadas de uma forma maliciosa, ou seja, não foram publicadas na internet.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
