BolhaSec News #50 - 25/05/2025 a 31/05/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Edição #50. 50 semanas (11,48 meses) ininterruptas de publicação da newsletter da #bolhasec. Aproveito o marco pra comunicar que a newsletter vai ter uma pausa nas próximas semanas para reestruturação. Mas voltamos em breve ♥️.

Vazamento de dados na Coinbase: Nas últimas semanas, se desenrolou uma história interessante na Coinbase. Segundo a empresa, criminosos fizeram contato em 11 de maio alegando possuir dados de "menos de um por cento" dos usuários, juntamente com documentação interna de suporte ao cliente e pediram $20M como extorsão. Supostamente, os criminosos oferecaram dinheiro para funcionários copiarem dados das ferramentas de suporte ao cliente com o objetivo de reunir uma lista que pudessem contatar, fingindo ser a Coinbase. Agora que a empresa preencheu o famoso “Form 8-K” comunicando do incidente, sabe-se que 69,461 foram impactados ☠️. [securityweek 1] [securityweek 2]

Empresa do Matlab sofreu ataque ransomware: Um ataque iniciado dia 18 de Maio interrompeu os sistemas e aplicativos online da MathWorks, criadora do Matlab, impactando serviços de licenciamento, downloads e loja online, site, wiki, contas MathWorks e outros serviços. Ainda não está claro qual grupo ransomware responsável pelo ataque e se eles roubaram algum dado. [darkreading] [securityweek]

Vulnerabilidade crítica no servidor MCP oficial do Github: A Invariant Labs descobriu uma vulnerabilidade crítica no GitHub MCP integration, um servidor MCP que permite a integração com as APIs e serviço do Github. A vulnerabilidade se trata de um caso de indirect prompt injection que permite que um atacante manipule o agente de um usuário por meio GitHub Issues maliciosos e o force a vazar dados de repositórios privados do usuário. Segundo os autores, outros agents apresentam a mesma vulnerabilidade 🌚. [invariantlabs]

Microsoft lança AI Red Teaming Playground Labs: Microsoft disponibilizou gratuitamente um repositório contendo os desafios dos labs usados no curso AI Red Teaming in Practice que ocorreu na Black Hat USA 2024. Os desafios foram criados para ensinar profissionais de segurança a sistematicamente testar sistemas de IA. [github] [twitter]

Dump

• The Ultimate Guide to Finding Bugs With Nuclei — ProjectDiscovery Blog [projectdiscovery]

• Node.js Security Release [nodejs]

• RCE in Burp Suite via Clickjacking [medium]

• The Easiest Way to Find CVEs at the Moment? GitHub Dorks! [medium]

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Telegram de reports de bugbounty

• Bolhasec no Bluesky

• Bolhasec no Threads