Em meio a anos de avisos de que os notórios hackers Volt Typhoon da China podem estar se pré-posicionando na infraestrutura crítica dos Estados Unidos, um jogo de guerra a portas fechadas para seguradoras representou uma série de cenários de pior caso – revelando uma ameaça ameaçadora e perturbadora.
O grupo de supervisão interna do ICE, o Escritório de Responsabilidade Profissional, começou investigando críticos online da agênciaabrindo mais de 100 casos analisando o que os funcionários do ICE chamam de “incidentes de doxing e ameaças” contra funcionários de agências. E na União Europeia, as empresas tecnológicas poderão digitalizar novamente textos pessoais, e-mails e mensagens de mídia social dos cidadãos por causa dos poderes renovados no projeto de lei “Controle de bate-papo”, que visa restringir o material de abuso infantil online. O Parlamento Europeu votou pela extensão da legislação, apesar de a maioria dos legisladores ter votado contra a proposta.
WIRED revelou mais sobre o cenário de vigilância do Madison Square Garden esta semana com revelações que MSG manteve um banco de dados categorizando centenas de celebridadessuperfãs proeminentes dos Knicks e até mesmo alguns convidados do casamento de Taylor Swift usando rótulos que incluíam “LGBTQIA”, “DO NOT HOST” e “risco” de baixo a alto.
E uma nova pesquisa esta semana mostra que uma onda de sequestros de sites do governo, nos quais golpistas prometem conteúdo “vazado” do OnlyFans que está sendo bloqueado por milhares de reclamações de direitos autorais de criadores de conteúdo adulto, ajudando a manter as pessoas seguras ao remover links maliciosos.
E tem mais. Toda semana, reunimos notícias sobre segurança e privacidade que não abordamos em profundidade. Clique nas manchetes para ler as histórias completas. E fique seguro lá fora.
A Nebula Security publicou o código de exploração do GhostLock (CVE-2026-43499), um bug que pode ser usado após livre e que permaneceu no kernel do Linux por 15 anos e permite que qualquer usuário logado crie root em uma máquina sem patch, de acordo com Semana de Segurança e As notícias dos hackers. A falha é distribuída por padrão em praticamente todas as distribuições convencionais desde 2011 e não precisa de permissões especiais ou acesso à rede. A exploração do Nebula escapa dos contêineres e foi 97% confiável nos testes. Ele recebeu um pagamento de US$ 92.337 por meio do programa kernelCTF do Google. Foi corrigido em abril, mas a disponibilidade do patch é irregular; O Ubuntu, no início de julho, ainda listava 24.04, 22.04 e 20.04 LTS como vulneráveis ou em andamento, então os defensores deveriam confirmar o pacote corrigido em vez de presumir que alguém está esperando.
Notavelmente, o Nebula encontrou o bug com o VEGA, sua ferramenta de caça a bugs baseada em IA, parte de uma série de falhas de escalonamento de privilégios do Linux em 2026, que surgiram por ferramentas automatizadas que combinavam códigos antigos do kernel que poucos reliam há anos.
Escrevendo no Driveo repórter Joel Feder descreve ter sido encurralado por quatro carros da polícia de Plymouth, Minnesota, no estacionamento de um Kohl’s no final de junho – policiais gritando, mãos nas armas – porque as câmeras da placa de Flock sinalizaram o Range Rover de US $ 155.000 que ele estava testando, emprestado de uma concessionária de Nova Jersey, como roubado. Feder escreve que a polícia estava rastreando o SUV pela cidade há dias… por causa de um erro de digitação.
A causa remonta a um erro de entrada de dados a 3.000 quilômetros de distância: uma placa de frota da Jaguar Land Rover com a leitura 34 03 DTM foi relatada à polícia de Los Angeles como perdida, mas foi inserida no sistema apenas como “34 DTM” – eliminando os dígitos intermediários menores que Nova Jersey usa nas placas do fabricante. As câmeras de Flock leram os caracteres grandes, ignoraram a estrutura fora do padrão e começaram a alertar a polícia sobre qualquer carro correspondente. Feder relata que quatro outros Land Rovers compartilhando o mesmo formato de placa estavam sendo rastreados em Minnesota naquela mesma semana; ele foi apenas o primeiro parado.
A placa que deu início a toda essa atividade policial não foi roubada, apenas perdida durante uma sessão de fotos. Ironicamente, o incidente ocorreu apenas duas semanas depois de The Drive publicou um relatório viral exatamente nesse tipo de exagero do rebanho.
A gigante de consultoria Accenture confirmou uma violação de segurança depois que um agente de ameaça conhecido como “888” alegou ter levantado 35 GB de dados – código-fonte, chaves RSA e SSH, tokens de acesso do Azure e arquivos de configuração – e os colocado à venda em um fórum de crimes cibernéticos, de acordo com BleepingComputer. A Accenture chamou isso de “assunto isolado”, disse que havia corrigido a fonte e não relatou nenhum impacto nas operações, mas se recusou na época a comentar o que realmente foi levado ou como os invasores entraram. Para apoiar a afirmação, 888 postou uma captura de tela que parecia mostrar um repositório Azure DevOps clonado em um host Accenture.com editado; BleepingComputer não conseguiu verificar o escopo completo. Não é a primeira investida do ator na empresa – 888 tentou vender dados de funcionários da Accenture após uma violação de terceiros em 2024, e a Accenture separadamente foi atingida pelo ransomware LockBit em 2021.
O momento da violação é particularmente estranho: o braço federal da Accenture manteve Contrato de serviços de defesa cibernética e suporte de inteligência da ICE—Monitoramento de ameaças 24 horas por dia, 7 dias por semana, detecção de invasões e resposta a incidentes nas redes da agência — desde setembro de 2021, uma ordem de tarefa de aproximadamente US$ 56,5 milhões que expira no final de agosto e está atualmente sendo renovada.
O Pentágono abriu inscrições esta semana para o Cyber RAP, um aprendizado pago que recruta pessoas sem diploma ou experiência cibernética – apenas a aptidão para aprender – para trabalhos de 12 meses em tempo integral, aprendendo a proteger as redes do departamento. de acordo com DefenseScoop. A CIO militar dos EUA, Kirsten Davies, apresentou-o como um abandono da “gestão académica” em favor de “aptidão bruta, impulso patriótico e capacidade prática”. Mas o salário é abismal de US$ 22.584 por ano, e aqueles que forem eliminados ficarão devendo ao governo o treinamento.
Esse é o acordo para construir talentos internamente. A outra opção na mesa é alugá-lo. Uma disposição do projeto de lei de defesa do Comitê de Serviços Armados do Senado para o ano fiscal de 2027 permitiria que o secretário de defesa Pete Hegseth criasse um piloto para executar operações cibernéticas por meio de “meios de propriedade e operados por empreiteiros” – uma equipe de hackers de aluguel abençoada pelo governo, Relatórios GovInfoSegurança.



