Exploração de Vulnerabilidades Supera Credenciais Roubadas Como Principal Porta de Entrada para Ataques — e ShinyHunters Atinge 6 Milhões de Clientes da Carnival
Exploração de Vulnerabilidades Ultrapassa Credenciais Roubadas pela Primeira Vez
O Relatório de Investigações de Violações de Dados (DBIR) de 2026 da Verizon traz uma estatística que deve redefinir as prioridades de segurança de toda organização: pela primeira vez em 19 anos, a exploração de vulnerabilidades de software superou as credenciais roubadas como o principal ponto de entrada para violações. Não se trata de uma mudança marginal — representa uma alteração fundamental na forma como os atacantes estão obtendo acesso inicial às redes corporativas.
A mudança reflete duas tendências convergentes: a varredura de vulnerabilidades baseada em IA, que comprime os prazos de exploração de meses para horas, e a falha persistente das organizações em aplicar patches nos prazos que realmente importam. Ivanti, Fortinet, SAP, VMware e n8n lançaram patches críticos para falhas ativamente exploradas em maio de 2026. Duas zero-days do Windows não corrigidas — "YellowKey" e "GreenPlasma" — foram expostas após o Patch Tuesday de maio da Microsoft, capazes de contornar a recuperação do BitLocker e conceder privilégios administrativos em sistemas sem patch.
ShinyHunters Está Tendo um Maio Catastrófico
O grupo de extorsão ShinyHunters esteve por trás de duas das violações mais significativas divulgadas em maio de 2026. A primeira: a Carnival Corporation começou a notificar aproximadamente 6 milhões de pessoas cujos dados pessoais — nomes, endereços, e-mails, números de telefone, datas de nascimento e números de documentos de identidade — foram acessados depois que o ShinyHunters usou engenharia social para comprometer um funcionário e obter acesso a parte dos sistemas de TI da Carnival.
A segunda é potencialmente maior em escala. A Instructure Inc., empresa por trás do sistema de gerenciamento de aprendizado Canvas usado por universidades e escolas K-12 nos EUA, foi alvo de um ataque de ransomware no qual o ShinyHunters ameaçou vazar dados de até 275 milhões de usuários. O Canvas é usado por mais de 30 milhões de estudantes e instrutores globalmente. Se o volume de dados reivindicado for preciso, este seria um dos maiores registros de violação do setor educacional.
Ambas as violações compartilham um vetor inicial comum: engenharia social contra funcionários, não exploração técnica de falhas de software. Isso é importante porque significa que o endurecimento da segurança de perímetro — aplicação de patches, firewalls, segmentação de rede — não protege contra um invasor que convence um funcionário legítimo a entregar credenciais.
Os Incidentes da Foxconn e ADT: Ataques à Cadeia de Suprimentos e Identidade
As fábricas norte-americanas da Foxconn sofreram um ataque de ransomware em maio pelo grupo Nitrogen, que afirmou ter exfiltrado 8 TB de dados. Ambientes de manufatura são cada vez mais visados porque frequentemente executam sistemas OT (tecnologia operacional) mais antigos, com segmentação de rede deficiente em relação à TI corporativa, criando caminhos fáceis de movimento lateral assim que um invasor ganha uma posição.
A ADT enfrentou escrutínio depois que o grupo ShinyHunters afirmou ter roubado informações pessoais de 5,5 milhões de clientes da ADT — acessadas por meio de uma campanha de vishing (phishing por voz) que comprometeu uma conta Okta de single sign-on de um funcionário. O vetor Okta é significativo: sistemas SSO são alvos de alto valor porque uma única conta comprometida pode fornecer acesso a dezenas de aplicativos conectados. O incidente da ADT ilustra por que o vishing — engenharia social baseada em telefone — continua subestimado como vetor de ataque, apesar de ser simples e eficaz.
Aplicativos Construídos com IA São uma Nova Superfície de Ataque
Uma investigação da WIRED publicada em maio de 2026 encontrou milhares de aplicativos web construídos com ferramentas de codificação de IA que foram deixados publicamente acessíveis, às vezes expondo dados corporativos e pessoais sensíveis. O padrão: desenvolvedores usam assistentes de IA para prototipar e implantar aplicativos rapidamente, mas pulam etapas de revisão de segurança — autenticação, autorização, validação de entrada — que seriam capturadas em um processo formal de desenvolvimento.
Isso é um problema estrutural, não pontual. Ferramentas de codificação de IA reduzem o limite de habilidade para construir aplicativos funcionais, mas não reduzem automaticamente o limite de habilidade para construir aplicativos seguros. Um desenvolvedor que não sabe implementar autenticação não pode ser protegido por uma ferramenta de IA que não sabe que ele precisa disso. As organizações precisam estender seus processos de revisão de segurança para incluir código gerado por IA com o mesmo rigor aplicado ao código escrito por humanos.
A Exposição de Credenciais da CISA: Quando as Equipes de Segurança São a Vulnerabilidade
Um dos incidentes mais alarmantes de maio veio de dentro da casa: um prestador de serviços da CISA — a Agência de Segurança Cibernética e Infraestrutura dos EUA — expôs publicamente credenciais administrativas em um repositório público do GitHub por seis meses. A exposição incluía nomes de usuário e senhas em texto claro para sistemas internos e chaves SSH.
Vale a pena refletir sobre este incidente porque a CISA é especificamente a agência responsável por coordenar a resposta nacional a incidentes cibernéticos. A exposição ilustra um problema que afeta organizações em todos os níveis: disciplina de gerenciamento de segredos. Credenciais comprometidas em controle de versão são um dos vetores de violação mais comuns e evitáveis. Ferramentas como a varredura de segredos do GitHub, HashiCorp Vault e AWS Secrets Manager existem precisamente para prevenir essa classe de erro. A falha aqui não foi técnica — foi de processo.
Ransomware-como-Serviço: Extorsão Tripla Agora é Padrão
O ataque do grupo Krybit à Administração Metropolitana de Bangkok e o ataque do grupo Nitrogen à Foxconn seguem o que pesquisadores de segurança agora chamam de extorsão tripla: criptografar arquivos para resgate, exfiltrar dados para ameaçar um segundo resgate de vazamento e ameaçar notificar clientes e reguladores como um terceiro ponto de pressão. Esse modelo torna o ransomware economicamente resiliente — mesmo organizações com bons backups enfrentam a ameaça de vazamento de dados independentemente de conseguirem restaurar as operações.
O alerta FLASH do FBI de maio de 2026 sobre o Silent Ransom Group (SRG) adiciona uma dimensão que a maioria das organizações não preparou: operadores físicos. Após tentativas iniciais de phishing falharem, o SRG escalou para enviar representantes físicos aos locais-alvo — essencialmente uma campanha híbrida de engenharia social ciberfísica. Isso é uma escalada significativa de ameaça que exige que as organizações pensem além de controles puramente digitais de segurança.
Cinco Passos Práticos para Maio de 2026
1. Corrija as zero-days do Windows imediatamente. YellowKey e GreenPlasma podem contornar o BitLocker. Qualquer sistema sem patch está exposto a escalada de privilégios por qualquer pessoa com acesso físico ou remoto.
2. Audite seu acesso Okta (e outros SSO). O ataque de vishing na ADT teve sucesso porque uma única conta SSO comprometida abriu muitas portas. Implemente MFA resistente a phishing (FIDO2/passkeys) para todo acesso SSO. SMS OTP não é suficiente.
3. Execute uma varredura de segredos em todos os repositórios. Use o GitHub Advanced Security ou uma ferramenta equivalente para identificar quaisquer credenciais ou chaves comprometidas no controle de versão. Gire tudo encontrado imediatamente, trate qualquer exposição como comprometida.
4. Revise o código gerado por IA quanto a controles de segurança. Se sua equipe está usando Copilot, Cursor ou ferramentas similares para escrever código de aplicação, adicione uma etapa explícita de revisão de segurança antes da implantação. Verifique autenticação, autorização, validação de entrada e exposição de dados em cada componente gerado por IA.
5. Treine funcionários em vishing, não apenas em phishing. Os ataques à Carnival e à ADT foram engenharia social baseada em voz. Seus funcionários precisam saber como verificar identidade por telefone e quando escalar solicitações incomuns, independentemente de quão legítimo o chamador pareça.