BolhaSec Newsletter
Posts
BolhaSec News #45 - 20/04/2025 a 26/04/2025

BolhaSec News #45 - 20/04/2025 a 26/04/2025

Novo universal jailbreaking / How I made $64k from deleted files — a bug bounty story / Adyen fica indisponível após ataque DDoS / Vulnerabilidade Alta no Redis

Bolha Sec
April 27, 2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinhas, mas não o suficiente para terem seus resumos na seção principal.

Novo universal jailbreaking: Pesquisadores da HiddenLayer descobriram uma nova técnica de universal jailbreaking que chamaram de Policy Puppetry e consiste em um prompt com formato estruturado, como XML, que tenta replicar uma política com configurações, regras e solicitações. A técnica foi testada contra alguns dos modelos mais populares de IA da, como Anthropic, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI e Qwen. [hiddenlayer] [securityweek] [twitter].

How I made $64k from deleted files — a bug bounty story: Ok, não é uma novidade a existência de secrets expostas no Github. Nem mesmos em arquivos excluídos. Em outros locais, como no Twitter e BlueSky, eu cheguei a comentar sobre o GitBleed, provável primeira pesquisa sobre. Mas esse caso é interessante porque o pesquisador conseguiu fazer a análise em escala em receber $64k em bugbounty. Outra diferença interessante é que segundo o autor, a maior parte dos segredos encontrados estava em arquivos binários, como zip e pyc 🤔. [medium] [nightwatchcybersecurity] [aquasec]

Adyen fica indisponível após ataque DDoS: Nessa segunda-feira, três ataques DDoS derrubaram os serviços Adyen, uma empresa de pagamentos holandesa com clientes bem pequenos, como Meta, Uber, eBay e Spotify. Aparentemente, o incidente durou 9 horas. [digwathc] [thecyberexpress]

Vulnerabilidade Alta no Redis: Foi publicado essa semana o CVE-2025-21605 (CVSS 7.5). Vulnerabilidade alta de negação de serviço afetando o Redis em versões inferiores a 7.4.3 e a partir de 2.6. Nessa vulnerabilidade, um cliente não autenticado pode causar arbitrariamente o crescimento dos buffers de saída, até que o servidor fique sem memória. Por padrão, a configuração do Redis não limita o buffer de saída de clientes. O fix é atualizar para a última versão 🤷‍♂️ [redis]

Dump

You'll Soon Be Able to Sign in to Have I Been Pwned (but Not Login, Log in or Log On) [troyhunt]
This blog is hosted on a Nintendo Wii [blog]
Uncovering a 0-Click RCE in the SuperNote Nomad E-ink Tablet [prizmlabs]
Not all AI-assisted programming is vibe coding (but vibe coding rocks) [blog]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️