🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A violação do Figure expôs 967.200 registros de e-mail sem uma única exploração. Compreender o que isso permite — e por que o seu MFA não pode contê-lo — é um problema de arquitetura, não um problema de educação do usuário.
Em fevereiro de 2026, a TechRepublic informou que a Figure, uma empresa de serviços financeiros, expôs quase 967.200 registros de e-mail em uma violação de dados recentemente divulgada. Nenhuma vulnerabilidade foi acorrentada. Nenhum dia zero foi queimado. Os registros eram acessíveis e agora estão nas mãos do adversário.
A cobertura de violações como essa tende a parar na contagem. Esse é o lugar errado para parar. O número de registros expostos não é o evento — é o inventário inicial para o evento seguinte.
Para entender o risco real, você deve seguir a cadeia de ataque que uma exposição de credenciais como essa permite, passo a passo, e perguntar honestamente se os controles de autenticação em seu ambiente podem interrompê-la a qualquer momento.
A maioria não consegue. Aqui está o porquê.
O que os adversários fazem com 967.000 registros de e-mail
Endereços de e-mail expostos não são dados estáticos. São insumos operacionais. Poucas horas depois de um conjunto de registros como esse ser disponibilizado, os adversários o executam em vários fluxos de trabalho paralelos simultaneamente.
O primeiro é o preenchimento de credenciais. É quase certo que clientes e funcionários reutilizaram senhas em vários serviços. Os adversários combinam os endereços expostos com bancos de dados de violações de incidentes anteriores — LinkedIn, Dropbox, RockYou2024 — e testam os pares resultantes em portais corporativos, gateways VPN, Microsoft 365, Okta e provedores de identidade em escala. A automação cuida do volume.
As taxas de sucesso em campanhas de preenchimento de credenciais contra novas listas de e-mail são rotineiramente de dois a três por cento. Em 967.000 registros, isso representa 19.000 a 29.000 pares de credenciais válidos.
O segundo fluxo de trabalho é o phishing direcionado. Ferramentas assistidas por IA agora podem gerar campanhas de phishing personalizadas a partir de uma lista de e-mail em minutos. As mensagens fazem referência à organização pelo nome, personificam comunicações internas e são visualmente indistinguíveis de correspondência legítima.
A segmentação específica do destinatário – usando o cargo, o departamento ou dados públicos do LinkedIn para personalizar a atração – é uma prática padrão, e não uma capacidade reservada aos atores do Estado-nação.
A terceira é a engenharia social do help desk. Armados com um endereço de e-mail válido e OSINT básico, os adversários se fazem passar por funcionários em ligações para equipes de suporte de TI, solicitando redefinições de senha, redefinições de dispositivos MFA ou desbloqueios de contas.
Esse vetor de ataque ignora totalmente a tecnologia de autenticação – ele tem como alvo o processo humano que existe para lidar com falhas de autenticação.
Em cada um desses fluxos de trabalho, nenhuma vulnerabilidade técnica é necessária. O objetivo do adversário não é invadir. É fazer login como um usuário válido. A violação não cria acesso. Cria as condições sob as quais o acesso se torna possível através do próprio sistema de autenticação.
Transforme autenticação em garantia
A plataforma Biometric Assured Identity da Token foi desenvolvida para organizações onde a falha de autenticação não é um resultado aceitável.
Veja como o Token pode fortalecer a garantia de identidade em sua pilha IAM, SSO e PAM existente.
Saiba mais
Por que o Legacy MFA não pode interromper esta cadeia
Esta é a parte da análise que a maioria das autópsias de incidentes tem menor peso. As organizações leem sobre uma exposição de credenciais e concluem que a implantação de MFA as protege. Para a cadeia de ataque descrita acima, essa conclusão é estruturalmente incorreta.
As ferramentas modernas contra adversários executam o que os pesquisadores de segurança chamam de retransmissão de phishing em tempo real, às vezes chamado de ataque adversário no meio (AiTM). A mecânica é precisa.
Um adversário cria um proxy reverso que fica entre a vítima e o serviço legítimo. Quando a vítima insere credenciais na página falsificada, o proxy encaminha essas credenciais para o site real em tempo real.
O site real responde com um desafio de MFA. O proxy encaminha esse desafio para a vítima. A vítima responde – porque a página parece legítima e o prompt do MFA é real. O proxy encaminha a resposta. O adversário recebe uma sessão autenticada.
MFA de notificação push, códigos únicos de SMS e aplicativos autenticadores TOTP são todos vulneráveis a essa retransmissão. Eles autenticam a troca de um código. Eles não verificam se o indivíduo que completa a troca é o titular autorizado da conta. Eles não conseguem distinguir uma sessão direta de uma sessão proxy.
Os kits de ferramentas que automatizam esse ataque – Evilginx, Modlishka, Muraena e seus derivados – estão disponíveis publicamente, são mantidos ativamente e não exigem nenhuma habilidade comercial avançada para operar. A capacidade não é exótica. É a linha de base.
A fadiga do MFA agrava isso. Os adversários que obtiverem credenciais válidas, mas não puderem retransmitir a sessão em tempo real, acionarão a repetição
Em fevereiro de 2026, a TechRepublic informou que a Figure, uma empresa de serviços financeiros, expôs quase 967.200 registros de e-mail em uma violação de dados recentemente divulgada. Nenhuma vulnerabilidade foi acorrentada. Nenhum dia zero foi queimado. Os registros eram acessíveis e agora estão nas mãos do adversário.
A cobertura de violações como essa tende a parar na contagem. Esse é o lugar errado para parar. O número de registros expostos não é o evento — é o inventário inicial para o evento seguinte.
Para entender o risco real, você deve seguir a cadeia de ataque que uma exposição de credenciais como essa permite, passo a passo, e perguntar honestamente se os controles de autenticação em seu ambiente podem interrompê-la a qualquer momento.
A maioria não consegue. Aqui está o porquê.
O que os adversários fazem com 967.000 registros de e-mail
Endereços de e-mail expostos não são dados estáticos. São insumos operacionais. Poucas horas depois de um conjunto de registros como esse ser disponibilizado, os adversários o executam em vários fluxos de trabalho paralelos simultaneamente.
O primeiro é o preenchimento de credenciais. É quase certo que clientes e funcionários reutilizaram senhas em vários serviços. Os adversários combinam os endereços expostos com bancos de dados de violações de incidentes anteriores — LinkedIn, Dropbox, RockYou2024 — e testam os pares resultantes em portais corporativos, gateways VPN, Microsoft 365, Okta e provedores de identidade em escala. A automação cuida do volume.
As taxas de sucesso em campanhas de preenchimento de credenciais contra novas listas de e-mail são rotineiramente de dois a três por cento. Em 967.000 registros, isso representa 19.000 a 29.000 pares de credenciais válidos.
O segundo fluxo de trabalho é o phishing direcionado. Ferramentas assistidas por IA agora podem gerar campanhas de phishing personalizadas a partir de uma lista de e-mail em minutos. As mensagens fazem referência à organização pelo nome, personificam comunicações internas e são visualmente indistinguíveis de correspondência legítima.
A segmentação específica do destinatário – usando o cargo, o departamento ou dados públicos do LinkedIn para personalizar a atração – é uma prática padrão, e não uma capacidade reservada aos atores do Estado-nação.
A terceira é a engenharia social do help desk. Armados com um endereço de e-mail válido e OSINT básico, os adversários se fazem passar por funcionários em ligações para equipes de suporte de TI, solicitando redefinições de senha, redefinições de dispositivos MFA ou desbloqueios de contas.
Esse vetor de ataque ignora totalmente a tecnologia de autenticação – ele tem como alvo o processo humano que existe para lidar com falhas de autenticação.
Em cada um desses fluxos de trabalho, nenhuma vulnerabilidade técnica é necessária. O objetivo do adversário não é invadir. É fazer login como um usuário válido. A violação não cria acesso. Cria as condições sob as quais o acesso se torna possível através do próprio sistema de autenticação.
Transforme autenticação em garantia
A plataforma Biometric Assured Identity da Token foi desenvolvida para organizações onde a falha de autenticação não é um resultado aceitável.
Veja como o Token pode fortalecer a garantia de identidade em sua pilha IAM, SSO e PAM existente.
Saiba mais
Por que o Legacy MFA não pode interromper esta cadeia
Esta é a parte da análise que a maioria das autópsias de incidentes tem menor peso. As organizações leem sobre uma exposição de credenciais e concluem que a implantação de MFA as protege. Para a cadeia de ataque descrita acima, essa conclusão é estruturalmente incorreta.
As ferramentas modernas contra adversários executam o que os pesquisadores de segurança chamam de retransmissão de phishing em tempo real, às vezes chamado de ataque adversário no meio (AiTM). A mecânica é precisa.
Um adversário cria um proxy reverso que fica entre a vítima e o serviço legítimo. Quando a vítima insere credenciais na página falsificada, o proxy encaminha essas credenciais para o site real em tempo real.
O site real responde com um desafio de MFA. O proxy encaminha esse desafio para a vítima. A vítima responde – porque a página parece legítima e o prompt do MFA é real. O proxy encaminha a resposta. O adversário recebe uma sessão autenticada.
MFA de notificação push, códigos únicos de SMS e aplicativos autenticadores TOTP são todos vulneráveis a essa retransmissão. Eles autenticam a troca de um código. Eles não verificam se o indivíduo que completa a troca é o titular autorizado da conta. Eles não conseguem distinguir uma sessão direta de uma sessão proxy.
Os kits de ferramentas que automatizam esse ataque – Evilginx, Modlishka, Muraena e seus derivados – estão disponíveis publicamente, são mantidos ativamente e não exigem nenhuma habilidade comercial avançada para operar. A capacidade não é exótica. É a linha de base.
A fadiga do MFA agrava isso. Os adversários que obtiverem credenciais válidas, mas não puderem retransmitir a sessão em tempo real, acionarão a repetição
#samirnews #samir #news #boletimtec #quando #os #invasores #já #possuem #as #chaves, #o #mfa #é #apenas #mais #uma #porta #a #ser #aberta
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário