19 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a exposicao.
Flickr notifica usuários sobre um possível vazamento causado por vulnerabilidade em um fornecedor terceirizado de e‑mail. Dados potencialmente expostos incluem nomes reais, e‑mails, endereços IP e atividade de conta. A matéria não informa número de afetados nem identifica o fornecedor.
A fintech Betterment confirmou que sistemas foram violados em janeiro, resultando na exposição de cerca de 1,4 milhão de contas e na divulgação de e‑mails e outras informações pessoais. A matéria não detalha vetores, IOCs ou a extensão dos dados além dos e‑mails.
Censys e cobertura técnica identificaram 21.639 instâncias do assistente OpenClaw visíveis na internet. Interfaces administrativas e integrações com e‑mail, calendário e smart‑home podem expor credenciais e dados pessoais, exigindo correções imediatas nas práticas de implantação.
Relatórios públicos descrevem uma campanha automatizada que localiza instâncias MongoDB expostas, apaga dados e insere notas de resgate. Cerca de 3.100 instâncias sem controle foram confirmadas; ~45,6% exibem notas de resgate e pagamentos concentraram‑se em uma carteira Bitcoin.
Reportagem do BleepingComputer indica que um pesquisador divulgou evidências de que links para fotos de perfis privados do Instagram foram acessíveis sem autenticação. A falha foi corrigida; a Meta fechou o relatório como "não aplicável" e não respondeu a pedidos de comentário. Não há dados públicos sobre o número de contas afetadas nem detalhes técnicos do vetor.
Pesquisas identificaram mais de 900 instâncias do gateway Clawdbot expostas na internet, muitas sem autenticação, permitindo acesso a chaves (Anthropic), tokens de canais e meses de histórico de conversas; algumas rodavam como root. A causa é a aprovação automática de localhost combinada com proxies reversos. Recomenda‑se auditar, rotacionar segredos e aplicar hardened configs.
Estudo da Reflectiz (4.700 sites) revela que 64% das aplicações de terceiros acessam dados sensíveis sem justificativa. Governo e educação mostram aumento de atividade maliciosa; Google Tag Manager, Shopify e Facebook Pixel aparecem entre os principais vetores citados.
Instâncias públicas de aplicações de treinamento (DVWA, Juice Shop, Hackazon, bWAPP) foram exploradas por atores maliciosos para acessar clouds de grandes empresas e fornecedores. O problema decorre de má configuração e falta de isolamento entre ambientes de teste e produção.
Pesquisa revelou uma falha em câmeras VIGI da TP‑Link com mais de 2.500 dispositivos expostos à internet; a fabricante liberou correção. Relatos públicos não trazem CVE, versão afetada ou evidência de exploração em massa — somente a contagem de dispositivos detectados e a disponibilidade do patch.
Relatório do Dark Reading aponta vazamento de um dump com cerca de 324 mil perfis do fórum BreachForums, incluindo identidades e detalhes de administradores e membros. O artigo informa o tamanho do material vazado, mas não especifica os campos expostos nem a origem técnica do vazamento. Autoridades e pesquisadores podem usar o conteúdo para investigações; faltam confirmações oficiais e inventário detalhado do dump.