Um threat actor usou CVE-2026-39987 para invadir um notebook, roubar credenciais em cloud, acessar AWS Secrets Manager e exfiltrar dados de um PostgreSQL interno em poucos minutos.

Uma brecha no kernel permite forjar autenticação CIFS e elevar privilégios até root, afetando várias distribuições. A correção já saiu, mas a exploração depende de versões vulneráveis e configurações inseguras.

A empresa resolveu erros 0x800f0922 e de instalação do update KB5089549, causados por pouco espaço na partição EFI; a correção já veio no KB5089573 e será ampliada no próximo Patch Tuesday.

plataformas devem oferecer formulários para denunciar imagens íntimas não consensuais a partir de maio. Empresas implementam mal os canais, com formulários confusos que dificultam o acesso, especialmente para adolescentes.

Um pacote npm usado por devs do OpenAI Codex exfiltra chaves de autenticação para um servidor controlado por atacantes, enquanto apps Android ligados ao caso ampliam o alcance e atingem mais de 50 mil downloads.

Hackers exploram CVE-2026-8732 no WordPress para criar contas de administrador sem autenticação; a versão 6.1.1 corrige o problema, e mais de 3.600 tentativas já foram bloqueadas.

O procurador-geral da Califórnia acusa a empresa de falhas de segurança que expuseram dados genéticos e pessoais de 6,9 milhões de clientes em 2023, além de alegar propaganda enganosa e violações de leis estaduais.

Atores criam página falsa de queda da OpenAI via link legítimo e anunciante no Google, induzindo vítimas a baixar app de desktop adulterado; o site entrega malware e oculta o conteúdo de segurança.

Autoridades tiraram do ar uma rede com 17 milhões de dispositivos e apreenderam mais de 200 servidores, usados para ciberataques e atividades criminosas, após investigação com o NCSC.

O grupo norte-coreano enganou militares e empresas sul-coreanas para distribuir HTTPSpy e outros backdoors, explorando reuniões reais, tunelamento do VS Code e técnicas para aumentar a persistência.

A empresa critica a exposição sem aviso de zero-days no Windows, enquanto BlueHammer, RedSun e UnDefend já são exploradas na prática; GitHub derrubou a conta do pesquisador após a polêmica.

Pesquisadores da Infoblox identificaram uma rede que vende ferramentas de desbloqueio e cria phishing para acessar aparelhos, com mais de 10 mil sites ligados à fraude e alta de 350% no tráfego.

Grupo liga ataques a alvos ucranianos com phishing, malware sob medida e iscas realistas, miradas em setores militar, público, civil e empresarial. Ferramentas incluem roubo de dados e acesso remoto.

O novo DBSC já chegou a todos os usuários e vincula cookies de sessão ao dispositivo, impedindo que cookies roubados sejam usados para sequestrar contas, mesmo após phishing, malware ou roubo de autenticação.

Homem pega 10 anos por vender dados de 7 milhões de idosos a golpistas na Jamaica e lucrar US$ 5,2 milhões com listas usadas em fraudes de loteria; perdas das vítimas passaram de US$ 9,5 milhões.

Pacote NuGet malicioso imita SDK do Sicoob e rouba IDs de cliente e certificados PFX, enquanto nova onda de pacotes npm ameaça credenciais, tokens e segredos em cadeias de suprimento de software.

Sites falsos imitam a FIFA para roubar dados, vender ingressos e pacotes fraudulentos; há centenas de páginas de phishing e malvertising. A recomendação é digitar fifa.com manualmente e checar a URL.

Threat actors usam CVE-2026-35616 , já corrigida, para distribuir malware furtivo via gestão legítima, roubar credenciais e contornar MFA, afetando endpoints e serviços em cloud.

Uma vulnerabilidade zero-day sem correção no serviço Git pode dar execução remota de código em instâncias expostas, permitindo roubo de credenciais, acesso a repositórios privados e ataque a outros sistemas.

Catalin Dragomir pegou 56 meses por acessar rede do Oregon, vender o acesso e repassar dados pessoais roubados; ação causou prejuízos mínimos de US$ 250 mil em dezenas de vítimas nos EUA.