44 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a email.
Flickr notifica usuários sobre um possível vazamento causado por vulnerabilidade em um fornecedor terceirizado de e‑mail. Dados potencialmente expostos incluem nomes reais, e‑mails, endereços IP e atividade de conta. A matéria não informa número de afetados nem identifica o fornecedor.
Relato do DarkReading mostra que o grupo APT28 rapidamente transformou um bug no Microsoft Office em uma cadeia de ataque iniciada por documentos RTF malformados. A matéria descreve o uso de RTFs para iniciar infecções em múltiplas etapas, mas não traz CVE, IoCs ou status de correção da Microsoft, deixando lacunas operacionais para defesa.
Relato da Dark Reading descreve uma campanha de phishing 'malware‑free' que usa iscas em PDF denominadas "request orders" para capturar credenciais do Dropbox em caixas corporativas. A matéria não fornece números de vítimas nem IOCs, mas destaca o risco de acesso indevido a repositórios na nuvem.
SmarterTools corrigiu duas falhas no SmarterMail, incluindo CVE‑2026‑24423 (CVSS 9.3), uma RCE não autenticada no ConnectToHub API que afeta versões anteriores à build 9511. Instâncias expostas devem ser atualizadas ou isoladas imediatamente.
Microsoft informou que desativará por padrão o SMTP AUTH com autenticação básica no Exchange Online a partir de dezembro de 2026, forçando migração para autenticação moderna (OAuth). A mudança visa mitigar abuso por brute force e envio de phishing via credenciais roubadas.
Atividade de exploração foi observada contra uma falha de autenticação no SmarterTools SmarterMail pouco após a publicação de um patch (Build 9511). A vulnerabilidade (identificada por watchTowr Labs como WT-2026-0001) não tinha CVE na cobertura consultada; organização com SmarterMail devem aplicar o patch, revisar logs e auditar credenciais.
O Google passou a permitir a alteração do endereço principal @gmail.com, segundo reportagem do BleepingComputer. A implantação está em rollout, mas faltam detalhes sobre aliasing, efeitos em contas gerenciadas e controles de segurança.
Scans de 12–13/01/2026 mostram 8.001 instâncias SmarterMail expostas vulneráveis a CVE-2025-52691 (upload arbitrário → RCE, CVSS 10.0). PoCs públicos aumentam risco para servidores não corrigidos; SmarterTools recomenda atualização para Build 9413+. Administradores devem inventariar, isolar instâncias públicas e procurar sinais de webshells.
Microsoft alerta que tenants do Office 365 com configurações fracas e sem anti‑spoofing estrito ficam vulneráveis a phishing. Notícia enfatiza problemas de configuração; não há dados públicos sobre escala de ataques.
Pesquisadores do Internet Storm Center registraram uma campanha de phishing que constrói QR codes inteiramente em HTML (tabelas de células), técnica que contorna deteção baseada em imagens; mensagens observadas entre 22 e 26/12/2025 redirecionavam para subdomínios de lidoustoo.click.