Um papel de IA no Microsoft Entra ID permitia tomada de contas e escalada de privilégios ao assumir service principals. A Microsoft corrigiu o problema em todos os ambientes de cloud, e a Silverfort recomenda monitoramento e auditoria.

grupo pró-Ucrânia explora falhas em servidores na Rússia para ganhar acesso, espalhar malware, roubar dados e mover-se na rede. Mesmo com patch, as incursões começaram em setembro de 2025.

Microsoft corrigiu CVE-2026-32202 e admitiu exploração ativa. O erro, ligado a um reparo incompleto, permitia roubo de hash sem clique e já foi associado à APT28 em campanhas contra Ucrânia e países da UE.

Falha em cadastro permitiu e-mails de phishing com aparência legítima, levando usuários a uma página falsa para roubo de credenciais. A empresa diz que corrigiu o erro e que contas, dados e fundos não foram afetados.

Chinês Xu Zewei é acusado de atacar alvos nos EUA. Segundo o DOJ, ele teria agido para o MSS chinês, explorando falhas no Microsoft Exchange, implantando malware e roubando dados de pesquisas da covid-19.

uma versão maliciosa no PyPI roubou segredos de desenvolvedores e carteiras de cripto, após explorar uma falha no fluxo do projeto; a edição limpa 0.23.4 foi liberada, mas quem baixou a 0.23.3 segue exposto.

pesquisadores encontraram CVE-2026-25874 , que permite execução remota de código via pickle e pode expor dados roubados, comprometer robôs e derrubar serviços. O patch ainda não foi lançado.

Autoridades canadenses prenderam três homens que usavam um aparelho para simular antena e disparar SMS de phishing, atingindo milhões e ameaçando até o acesso a serviços de emergência.

Em 2025, fraudes nas redes sociais somaram US$ 2,1 bilhões, com Facebook liderando as perdas; Meta ampliou proteções, e a FTC recomenda restringir perfis e checar empresas antes de comprar.

Hackers invadiram a rede e acessaram dados em sistemas corporativos, mas a empresa diz que clientes, produtos e operações não foram afetados; ShinyHunters alega ter roubado mais de 9 milhões de registros.

Evan Tangeman pegou 70 meses por lavar parte de um roubo de US$ 230 milhões. Ele ajudou a ocultar US$ 3,5 milhões e, segundo o processo, tentou destruir provas após as prisões.

Pesquisadores identificaram 73 extensões clonadas no Open VSX ligadas ao GlassWorm, com seis maliciosas; elas atraem desenvolvedores antes de liberar malware para roubar dados, instalar RAT e ampliar o ataque.

O NCSC recomenda trocar senhas por passkeys, pois reduzem riscos de phishing, reutilização de credenciais e erros humanos, embora especialistas alertem que a medida não é uma solução definitiva.

Pesquisadores da SentinelOne encontraram o fast16, malware em Lua de 2005 usado para sabotagem precisa, capaz de alterar cálculos e se propagar em redes Windows. O achado antecede o Stuxnet e reescreve a cronologia de APTs.

Microsoft levará autenticação sem senha com proteção contra phishing aos recursos do Entra a partir do fim de abril, ampliando o acesso para dispositivos corporativos, pessoais e compartilhados, com implantação geral prevista para junho de 2026.

Mais de 10 mil servidores estão expostos a uma falha XSS, já explorada em campo. A CISA alertou para o risco e cobrou correções imediatas, após a Synacor liberar patches em junho de 2025.

malware mira Cisco ASA, contorna falhas já corrigidas e mantém acesso após patch. Em paralelo, EUA e aliados apontam redes ocultas de botnet usadas por grupos chineses para espionagem.

golpe com CAPTCHA mira contas móveis e lucra com SMS pagos; pesquisadores também revelam abuso do Keitaro para distribuir malware, fraudes com IA e esquemas de criptomoedas em larga escala.

vulnerabilidade CVE-2026-41651 permite a usuários locais instalar ou remover pacotes e obter permissões de root; correção já saiu na versão 1.3.5, e distribuições com o serviço ativo podem estar em risco.

Grupo extorque empresas desde fevereiro de 2026, fingindo ser TI para roubar credenciais, burlar MFA e desviar dados de Salesforce e SharePoint, antes de exigir resgates milionários.