Breaches, compliance e risco de fornecedor no seu setor — traduzidos em ação pro CISO/CTO. Novos programas de bug bounty como social proof de maturidade em segurança.
A OpenAI formalizou um programa dedicado de bug bounty para vulnerabilidades de AI safety, com pool de U$1 milhão e recompensas entre U$250 e U$7.500 — sinalizando que prompt injection e vazamento de outputs de modelos proprietários são riscos tangíveis que seu programa de segurança precisa mapear.
A maior operadora de telecomunicações da Austrália torna público seu programa de recompensas por vulnerabilidades no Bugcrowd — movimento que segue diretamente o maior vazamento de dados da história do país, com 9,5 milhões de clientes afetados e ação judicial regulatória ainda em curso.
Empresas de energia, utilities e supply chain que conectaram contratos inteligentes a sistemas operacionais físicos em 2024-2025 podem ter criado um vetor de execução remota de código não monitorado — exatamente na camada que nenhum pentest cobre.
Dados de reservas de clientes da Booking.com — nomes, e-mails, endereços, telefones e mensagens privadas com hotéis — foram acessados por criminosos via rede de parceiros hoteleiros comprometidos; campanhas de phishing usando dados reais já estavam ativas antes da notificação oficial de 13 de abril de 2026.
Em 2024 foram publicadas mais de 40 mil vulnerabilidades — mas apenas 5% a 7% chegam a ser exploradas ativamente: equipes que patcheiam por CVSS estão desperdiçando capacidade operacional no que nunca será atacado.
A plataforma de deploy Vercel confirmou um breach originado por um infostealer no fornecedor de IA Context.ai, expondo credenciais de centenas de organizações — com atacante exigindo US$ 2 milhões para não publicar código-fonte e chaves de API roubadas.
A Vercel, infraestrutura de deploy de centenas de milhares de aplicações SaaS globais, teve credenciais de clientes exfiltradas após uma cadeia de supply chain que começou com Lumma Stealer em um fornecedor de AI terceirizado e terminou com acesso irrestrito a variáveis de ambiente via OAuth mal configurado.
