BolhaSec News #48 - 11/05/2025 a 17/05/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Segurança de senhas despenca em 2025: Novo estudo da Cybernews com mais de 19 bilhões de senhas expostas revela uma crise generalizada de reutilização de senhas fracas. Padrões de como 123456, ainda reinam supremos, e 94% das senhas analisadas são reutilizadas ou duplicadas, revelam vazamentos de dados de 2024-2025. Ana foi o nome próprio mais popular na composição de senhas. O texto aproveitou pra fazer o trocadilho com banana que também está no ranking das senhas mais populares 🤣 [cybernews] [cisoadvisor]

Vazamento em aplicativo de microgerenciamento: O aplicativo de vigilância “monitoramente de produtividade registrando atividades e tirando capturas de tela regulares das telas dos funcionários”, WorkComposer, usado por mais de 200.000 pessoas em inúmeras empresas vazou milhões de capturas de tela dos pobres dos funcionários monitorados. O aplicativo deixou mais de 21 milhões de imagens expostas em um bucket desprotegido do Amazon S3, transmitindo como os trabalhadores passam o dia 🤷‍♂️. [cybernews]

Response Filter Denial of Service (RFDoS), ou usando WAF para derrubar sites: Você já implantou WAF nos seus sistemas alguma vez? Se sim, você deve saber que é preciso cuidado na hora de ativar o bloqueio de requisições porque provavelmente vão acabar sendo bloqueadas algumas requisições legítimas e conteúdos também. O ataque de RFDoS é baseada exatamente no bloqueio de conteúdos do sistema, que originalmente previnem o vazamento de informações confidenciais. Em resumo, sob certas condições, você pode fazer o WAF bloquear conteúdos de um site salvando como, por exemplo, comentário ou review, strings que vão triggar regras de bloqueio do WAF. [medium]

PF deflagra operação contra fraude biométrica no Gov[.]br: A Polícia Federal deflagrou nesta terça-feira (13) a operação “Face Off”, para desarticular um grupo criminoso que utilizava técnicas de alteração facial para fraudar contas vinculadas à plataforma Gov.br. Segundo as autoridades, os investigados manipulavam traços faciais com o objetivo de burlar sistemas de autenticação biométrica e obter acesso a serviços públicos digitais. Ao todo, estão sendo cumpridos cinco mandados de prisão temporária e 16 mandados de busca e apreensão, em 9 estados. [olhardigital]

Dump

• Development Journey on Game Decompilation Using AI [medium]

• CodeQLEAKED – Public Secrets Exposure Leads to Supply Chain Attack on GitHub CodeQL [praetorian]

• Microsoft Fixes 78 Flaws, 5 Zero-Days Exploited; CVSS 10 Bug Impacts Azure DevOps Server [thehackernews]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Telegram de reports de bugbounty

• Bolhasec no Bluesky

• Bolhasec no Threads