Breaches, compliance e risco de fornecedor traduzidos em ação pro CISO/CTO. Cada item linka pro post completo no blog — sem técnica de trincheira.
A OpenAI formalizou um programa dedicado de bug bounty para vulnerabilidades de AI safety, com pool de U$1 milhão e recompensas entre U$250 e U$7.500 — sinalizando que prompt injection e vazamento de outputs de modelos proprietários são riscos tangíveis que seu programa de segurança precisa mapear.
O programa cobre prompt injection em produtos agênticos, vazamento de outputs de modelos proprietários e bypasses de integridade de conta — categorias que diferem das vulnerabilidades técnicas tradicionais e exigem capacidade de teste especializada em AI. Empresas que integram APIs da OpenAI ou implantam ChatGPT em fluxos internos devem revisar se os mesmos vetores existem em seus ambientes. CISO deve solicitar ao time de engenharia um mapeamento dos pontos de integração com LLMs de terceiros e verificar se o framework de testes de segurança atual cobre ataques de manipulação de prompt — relevante para SOC 2 CC7.2 e ISO 27001 A.12.6.
A maior operadora de telecomunicações da Austrália torna público seu programa de recompensas por vulnerabilidades no Bugcrowd — movimento que segue diretamente o maior vazamento de dados da história do país, com 9,5 milhões de clientes afetados e ação judicial regulatória ainda em curso.
A Optus (SingTel), que fornece serviços móveis, internet e satélite para dezenas de milhões de australianos, abriu acesso irrestrito ao seu programa de bug bounty com recompensas de US$ 150 a US$ 5.000. O lançamento público sinaliza resposta ao breach de 2022, que expôs dados pessoais de 9,5 milhões de pessoas e levou o Information Commissioner australiano a mover ação civil de penalidade contra a empresa — processo ainda ativo em 2025. CISOs com operações ou fornecedores na Austrália devem interpretar este movimento como referência de maturidade esperada pelo regulador local sob a Privacy Act 1988 e o esquema de Notifiable Data Breaches.
Empresas de energia, utilities e supply chain que conectaram contratos inteligentes a sistemas operacionais físicos em 2024-2025 podem ter criado um vetor de execução remota de código não monitorado — exatamente na camada que nenhum pentest cobre.
O padrão Web2.5 — dados de smart contracts consumidos por backends Python ou Java sem validação de schema — estabelece uma confiança implícita perigosa: a equipe assume que dados vindos da blockchain são íntegros e os processa diretamente, abrindo espaço para ataques de desserialização (execução remota de código via entrada maliciosa). CISO de setores regulados que adotaram tokenização ou oráculos blockchain deve revisar urgentemente a arquitetura de integração entre contratos inteligentes e sistemas de controle operacional. Incidentes em infraestrutura crítica disparam obrigações de notificação regulatória em múltiplas jurisdições e podem acionar cláusulas de SLA com impacto financeiro direto.
Dados de reservas de clientes da Booking.com — nomes, e-mails, endereços, telefones e mensagens privadas com hotéis — foram acessados por criminosos via rede de parceiros hoteleiros comprometidos; campanhas de phishing usando dados reais já estavam ativas antes da notificação oficial de 13 de abril de 2026.
O ataque não comprometeu os servidores centrais da Booking.com, mas a cadeia de fornecedores: funcionários de hotéis parceiros foram induzidos por scripts maliciosos disfarçados de correção de erro de navegador (técnica ClickFix) a entregar seus cookies de sessão, contornando MFA e dando aos criminosos acesso a dados reais de reservas. Com essas informações, golpistas do grupo Storm-1865 já disparavam phishing cirúrgico via WhatsApp e e-mail — com nome do hotel, datas e número de confirmação corretos — antes de qualquer alerta ao cliente. CISO deve mapear quais plataformas de viagem corporativa têm acesso a PII de colaboradores e exigir controles anti-phishing nas próximas revisões contratuais, com atenção redobrada ao GDPR Art. 33: a notificação chegou 22 dias após o prazo legal de 72h, replicando a infração que gerou multa de €475 mil da DPA holandesa em 2021.
Em 2024 foram publicadas mais de 40 mil vulnerabilidades — mas apenas 5% a 7% chegam a ser exploradas ativamente: equipes que patcheiam por CVSS estão desperdiçando capacidade operacional no que nunca será atacado.
O EPSS (Exploit Prediction Scoring System), mantido pelo FIRST, calcula a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias — score de 0 a 1, atualizado diariamente com sinais de darkweb, bancos de exploits e threat intelligence. Um CVSS 9.8 dormindo em software obscuro é menos urgente do que um CVSS 6.5 ativo em campanhas de ransomware: CISO deve recalibrar o SLA de patching do time usando EPSS ≥ 0,50 como patamar de alta prioridade. ISO 27001 A.12.6 e NIST SP 800-40 exigem processo documentado de priorização de vulnerabilidades — adotar EPSS cobre essa exigência com evidência quantitativa auditável.
A plataforma de deploy Vercel confirmou um breach originado por um infostealer no fornecedor de IA Context.ai, expondo credenciais de centenas de organizações — com atacante exigindo US$ 2 milhões para não publicar código-fonte e chaves de API roubadas.
O acesso inicial ocorreu após um colaborador da Context.ai ser infectado pelo Lumma Stealer em fevereiro de 2026, comprometendo via OAuth a conta corporativa Google de um funcionário da Vercel e abrindo caminho para sistemas internos. Empresas que hospedam aplicações na Vercel devem rotacionar imediatamente todas as chaves de API, tokens de deploy e credenciais OAuth — o risco downstream inclui comprometimento de pipelines de CI/CD e exposição de segredos de produção. Se PII de clientes estava em repositórios acessados, o incidente ativa obrigação de notificação sob LGPD Art. 48 e GDPR Art. 33.
A Vercel, infraestrutura de deploy de centenas de milhares de aplicações SaaS globais, teve credenciais de clientes exfiltradas após uma cadeia de supply chain que começou com Lumma Stealer em um fornecedor de AI terceirizado e terminou com acesso irrestrito a variáveis de ambiente via OAuth mal configurado.
O vetor não foi uma falha técnica na Vercel — foi a permissão excessiva ('Allow All') concedida por um funcionário à suite AI da Context.ai, que após ser comprometida em fevereiro de 2026 permitiu ao atacante pivotar para o Google Workspace corporativo e o inventário de variáveis de ambiente de clientes. O grupo ShinyHunters reivindicou a autoria e exigiu US$ 2 milhões pelos dados, sinalizando que as credenciais exfiltradas têm valor de mercado imediato. CISO deve auditar hoje todas as integrações OAuth de ferramentas AI com acesso a contas corporativas — o risco está no escopo de permissão, não no fornecedor em si.
Hunterspay é plataforma Managed Bug Bounty: escopo, triagem, pagamento e gestão de vulnerabilidades — tudo curado. Segurança contínua sem contratar hunter interno.
Cadastrar empresa →