Abrangendo incidentes recentes de vulnerabilidade de segurança, informações de CVE e tendências do setor.
Última atualização:
Carregando notícias...
A Wiz Research descobriu que o banco de dados ClickHouse da DeepSeek estava publicamente acessível sem autenticação em dois subdomínios. Mais de 1 milhão de entradas de registro continham histórico de bate-papo em texto simples, chaves secretas de API e metadados operacionais de back-end. Os invasores podiam roubar senhas e arquivos locais diretamente do servidor. Após a divulgação responsável, a DeepSeek protegeu imediatamente o banco de dados. Um ataque DDoS em grande escala contra a API e a interface de bate-papo na Web também ocorreu em 27 de janeiro.
Fonte: Wiz Blog
Um invasor registrou uma conta de parceiro falsa no portal de parceiros da Dell e obteve acesso em 48 horas. A API do portal não tinha verificações de autorização ou limitação de taxa. Durante três semanas, o invasor enviou aproximadamente 5.000 solicitações por minuto, roubando 49 milhões de registros contendo nomes, endereços, etiquetas de serviço e informações de pedidos. Os dados foram vendidos em um fórum de hackers.
Fonte: BleepingComputer
Um invasor explorou a API REST desprotegida do Trello, que permitia consultas não autenticadas por endereço de e-mail. Ao enviar endereços de e-mail de bancos de dados previamente violados, o invasor coletou mais de 15 milhões de perfis de usuários (e-mails, nomes completos, nomes de usuário, informações do quadro) e os publicou em um fórum de hackers. Posteriormente, a Atlassian restringiu o endpoint.
Fonte: BleepingComputer
Um funcionário do Departamento de Eficiência Governamental (DOGE) dos EUA enviou um script (agent.py) contendo a chave de API privada da xAI para um repositório público do GitHub. A chave fornecia acesso irrestrito a mais de 52 modelos LLM, incluindo o "grok 4-0709", que havia sido criado apenas quatro dias antes. O GitGuardian detectou o vazamento, mas a chave não foi revogada imediatamente. Um vazamento semelhante também ocorreu em maio de 2025.
Fonte: Krebs on Security
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no componente pictureproxy.php do ChatGPT. Um invasor não autenticado poderia injetar URLs criados para forçar o servidor a executar solicitações internas não autorizadas. Mais de 10.000 tentativas de ataque foram registradas a partir de um único endereço IP, com 33% dos alvos sendo organizações dos EUA (setores financeiro, governamental e de saúde). A vulnerabilidade é particularmente perigosa porque pode ser explorada em escala sem autenticação.
Fonte: SecurityWeek
O CVE-2024-27564 é um exemplo clássico do OWASP API7 (SSRF). As APIs que aceitam entrada de URL de fontes externas exigem validação rigorosa para impedir o acesso a redes internas. Consulte OWASP Top 10 → API7.
De acordo com o relatório API ThreatStats 2025 da Wallarm, 439 CVEs relacionados à IA foram registrados em 2024, um aumento de 1.025% em relação ao ano anterior. Mais de 50% das entradas do catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA estão relacionadas à API. As falhas de controle de acesso aumentaram em 40% no geral, e as falhas críticas de autorização aumentaram em 36%.
Wallarm 2025De acordo com o relatório Q1 2025 da Salt Security, 99% das organizações pesquisadas tiveram pelo menos um problema de segurança de API nos últimos 12 meses. Os principais riscos foram ataques de injeção e BOLA (Broken Object Level Authorization), responsáveis por mais de um terço de todos os incidentes. 95% dos ataques à API tiveram origem em sessões autenticadas.
Salt Security Q1 2025Pesquisadores de segurança descobriram 30.000 espaços de trabalho do Postman expostos publicamente sem controles de segurança. Eles continham chaves de API ativas, tokens de acesso e cargas úteis confidenciais, muitos deles fornecendo acesso direto a ambientes de produção. Esse caso destaca o risco de credenciais de "shadow API" em ferramentas de colaboração de desenvolvedores.
Wallarm 2025As vulnerabilidades em APIs baseadas em IA, como ChatGPT e DeepSeek, estão aumentando. Injeção imediata, SSRF e exposição de dados são as principais ameaças. As medidas de segurança não estão acompanhando o ritmo da rápida adoção da IA.
A BOLA (Broken Object Level Authorization) continua sendo a vulnerabilidade mais prevalente. Como visto nos casos da Dell e da Trello, a falta de verificações básicas de autorização leva a violações de dados em grande escala.
95% dos ataques ocorrem após a autenticação ter sido aprovada. Os atacantes com tokens de acesso legítimos exploram as falhas de autorização para se moverem lateralmente, o que faz com que essa seja a técnica de ataque dominante.
Os vazamentos de chaves de API de ferramentas de desenvolvedor, como GitHub e Postman, tornaram-se um problema crítico. A adoção de ferramentas de detecção automatizadas (por exemplo, GitGuardian) e práticas rigorosas de gerenciamento de segredos são essenciais.
As informações desta página são baseadas em dados disponíveis publicamente desde 2025. Consulte os links de referência acima para obter as informações mais recentes sobre vulnerabilidade.