by: Leandro LucioPosted on:

Resumo Semanal de Segurança da Informação

O Diário da Segurança da Informação

Edição 003 • Perito Lucio • 20 a 27 de Março de 2026

A

semana final de março de 2026 escancarou uma dura realidade: nenhuma instituição, pública ou privada, está imune. Tivemos a confirmação oficial do Banco Central sobre o vazamento de milhares de chaves Pix, enquanto o submundo da Dark Web celebrava o roubo de 1 Petabyte de dados que atingiu até mesmo a gigante dos animes, Crunchyroll. Em paralelo, malwares sofisticados com Inteligência Artificial começam a atingir o ecossistema da Apple. Como perito forense, analisei os 8 eventos mais críticos desta semana. Vamos dissecar as evidências e entender como a segurança da informação falhou — e como podemos nos proteger.

1. Vazamento Oficial: Chaves Pix Expostas

Banco Central confirma vazamento de dados cadastrais de mais de 28 mil chaves Pix

Fonte Real: Portal ADVFN (23/03/2026)

O Banco Central do Brasil emitiu um comunicado oficial no dia 23 de março confirmando um novo incidente de segurança envolvendo o sistema Pix. Houve o vazamento de dados cadastrais vinculados a 28.203 chaves. O BC esclareceu que dados sensíveis como senhas, saldos e extratos não foram expostos, mas informações como nome, CPF, banco e número de conta caíram nas mãos de cibercriminosos devido a falhas em sistemas de instituições parceiras.

🛡️ Descomplicando

Imagine o Pix como um grande catálogo telefônico. Os hackers não conseguiram roubar o seu dinheiro ou ver o seu saldo (isso é protegido). Mas eles conseguiram roubar o “catálogo” de 28 mil pessoas, sabendo exatamente qual o seu CPF, nome completo e em qual banco você tem conta. O perigo disso? Eles vão usar essas informações para te ligar, fingindo ser o gerente do seu banco, para aplicar golpes muito convincentes.

🔍 Análise Forense e Conformidade

Vazamentos dessa natureza geralmente ocorrem via exploração de vulnerabilidades em APIs (BOLA/IDOR) das Instituições de Pagamento (IPs) conectadas ao DICT (Diretório de Identificadores de Contas Transacionais). Pericialmente, a rastreabilidade é feita cruzando logs de requisição da instituição com os limites de Rate Limiting que deveriam ter bloqueado a extração em massa (Scraping) do banco de dados.

2. Megavazamento: 1 Petabyte de Dados Roubados

Crunchyroll e Telus Digital vítimas do grupo hacker ShinyHunters

Fonte Real: TecMundo (23/03/2026)

A Telus Digital, gigante canadense de tecnologia, confirmou um vazamento absurdo de quase 1 petabyte (1 milhão de gigabytes) de dados. O ataque, reivindicado pelo notório grupo criminoso ShinyHunters, afetou clientes globais da empresa, incluindo a Crunchyroll (subsidiária da Sony e maior streaming de animes do mundo). Os hackers expuseram códigos-fonte, IPs, e-mails e registros de cartões de crédito em fóruns do submundo digital após as empresas se recusarem a pagar o resgate.

🛡️ Descomplicando

O grupo ShinyHunters é especializado em roubar informações de grandes empresas. Eles invadiram a rede que presta serviços para a Crunchyroll e roubaram uma quantidade colossal de informações. Se você tem conta na Crunchyroll ou em serviços similares, seu e-mail e senha podem estar à venda na internet. A regra é clara: troque suas senhas imediatamente e nunca use a mesma senha em dois sites diferentes.

3. Alerta Governamental: Engenharia Social via WhatsApp

Serpro alerta sobre golpes simulando mensagens do Governo Federal

Fonte Real: Portal Serpro (Março/2026)

O Serviço Federal de Processamento de Dados (Serpro) foi a público alertar sobre uma escalada em tentativas de fraude via WhatsApp e Telegram. Criminosos estão enviando mensagens urgentes relatando “bloqueio de CPF” ou “dívida ativa”. A tática de engenharia social visa causar pânico para que a vítima clique em links fraudulentos que simulam o layout perfeito do Gov.br, instalando malwares no celular ou roubando senhas do portal unificado do cidadão.

🔍 Threat Intel e Spoofing

O ataque explora a urgência cognitiva da vítima (Engenharia Social). Tecnologicamente, os atacantes usam domínios de Typosquatting (como gov-br-regularize.com) muitas vezes blindados por serviços de proxy reverso como Cloudflare para ocultar o IP real do C2 (Command and Control). A recomendação para equipes de resposta a incidentes é focar em treinamento de Security Awareness, já que soluções de EDR mobile ainda têm baixa adoção no público civil.

4. Ação do Judiciário: O “Falso Advogado”

CNJ e OAB unem forças contra o golpe processual eletrônico

Fontes Reais: Conselho Federal da OAB | Portal CNJ (Março/2026)

Em março de 2026, o Conselho Nacional de Justiça (CNJ) e a OAB deflagraram uma resposta pesada contra o “Golpe do Falso Advogado”. Apoiando o Projeto de Lei 4.709/2025, os órgãos buscam implementar autenticação multifator (MFA) obrigatória para magistrados e advogados no processo eletrônico. O golpe consiste em fraudadores que monitoram diários oficiais públicos, descobrem quem tem dinheiro a receber na Justiça e entram em contato pelo WhatsApp se passando pelo advogado da vítima para cobrar falsas “taxas de liberação de alvará”.

5. Spyware na Apple: O Alerta “DarkSword”

CISA exige correção de urgência contra spyware que afeta dispositivos iOS e macOS

Fonte Real: Times of India / Alertas CISA (23/03/2026)

A CISA (Agência de Cibersegurança dos EUA) adicionou cinco novas falhas ativamente exploradas ao seu catálogo. O grande perigo atende pelo nome de DarkSword, um spyware altamente sofisticado que atinge produtos Apple (vulnerabilidades CVE-2025-43510 e CVE-2025-31277). O que assusta os especialistas é que o grupo por trás do DarkSword (identificado como UNC6353) utiliza ferramentas de Inteligência Artificial (LLMs) para expandir as funcionalidades do vírus, adaptando-o rapidamente contra as defesas do sistema iOS.

🛡️ Descomplicando

Existe um mito de que “iPhone não pega vírus”. A realidade de 2026 prova o contrário. O governo americano soou o alarme sobre um “espião invisível” (spyware) capaz de invadir iPhones silenciosamente. Se você usa dispositivos da Apple, pare o que está fazendo e verifique se há atualizações de sistema (iOS) pendentes. Atualizar o aparelho é a única forma de tapar o buraco que os hackers estão usando.

6. Ponto Cego: Servidores de Backup na Mira

Veeam corrige vulnerabilidades críticas de RCE em infraestrutura de backup

Fonte Real: Acronis Threat Research (16/03/2026)

Uma regra básica da segurança é: quem domina o backup, domina a empresa. A Veeam, gigante de soluções de backup corporativo, liberou patches urgentes para vulnerabilidades críticas de Execução Remota de Código (RCE) em sua plataforma. Atacantes estavam mirando especificamente os servidores de backup antes de lançar malwares, pois deletar os pontos de restauração da empresa garante que a vítima não terá outra escolha a não ser pagar o resgate do Ransomware.

7. Ransomware no Setor Automotivo

Omax Autos confirma ataque de ransomware em sua infraestrutura de TI

Fonte Real: PTI News (27/03/2026)

Nesta exata sexta-feira, a gigante fabricante de autopeças Omax Autos Ltd confirmou à bolsa de valores que sofreu um ataque cibernético do tipo ransomware. Embora a empresa afirme que seus “sistemas centrais” não foram afetados, o departamento de TI está avaliando a extensão do impacto nas redes. Este é um alerta claro de que as indústrias e a cadeia de suprimentos (Supply Chain) continuam sendo alvos lucrativos e vulneráveis.

🔍 Ransomware em Redes Industriais (IT/OT)

Ataques a fabricantes levantam a preocupação sobre o movimento lateral do malware da rede corporativa (IT) para a rede de Tecnologia Operacional (OT – chão de fábrica). Peritos digitais devem iniciar a Resposta a Incidentes isolando a comunicação entre os controladores lógicos programáveis (PLCs) e os servidores de domínio corporativo, garantindo que a criptografia não paralise a linha de montagem física.

8. Ameaças Zero-Day (Dia Zero) em Navegadores

Google lança atualização de emergência para Chrome explorado in-the-wild

Fonte Real: Acronis Threat Research (Março/2026)

Finalizando nossa rodada técnica, o Google foi forçado a lançar um patch de emergência “Out-of-Band” para o navegador Chrome (afetando Windows, macOS e Linux). O motivo? Duas vulnerabilidades “Zero-Day” (CVE-2026-3909 e CVE-2026-3910) estavam sendo exploradas ativamente (“in-the-wild”) por hackers. Uma delas envolvia corrupção de memória no motor de processamento JavaScript (V8). Na prática, apenas visitar uma página web maliciosa com o navegador desatualizado era o suficiente para ter a máquina infectada remotamente.

🎯 Dica da Semana do Perito

A Filosofia da “Desconfiança Zero” na Prática

Ao ler as 8 notícias desta semana, uma coisa fica clara: não importa se o vazamento foi no Banco Central, no seu streaming de animes ou se você usa iPhone. Os seus dados vazam porque terceiros falham. Como retomar o controle?

  • 1. Pare de Reutilizar Senhas: O vazamento da Crunchyroll significa que hackers pegaram a senha que você usa lá e vão testar no seu e-mail e no seu Instagram. Use um Gerenciador de Senhas (como Bitwarden ou 1Password) e tenha uma senha única e longa para cada site.
  • 2. Atualização é Urgência, não Opção: A falha “Zero-Day” do Chrome e o Spyware do iPhone provam que sistemas desatualizados são portas abertas. Coloque seu celular e computador para atualizarem automaticamente durante a madrugada.
  • 3. Ceticismo no WhatsApp: O alerta do Serpro e da OAB mostram que a engenharia social é o golpe que mais dá lucro. Recebeu mensagem de “Dívida no CPF” ou “Dinheiro de processo liberado” cobrando taxa? Respire. Bloqueie o número e ligue diretamente para o seu advogado ou acesse o site oficial do governo digitando o endereço no navegador.
Leandro Lucio

Leandro Lucio

Sou especialista em Cyber Security e Digital Forensics, com mais de 15 anos de experiência em segurança ofensiva, investigação digital e resposta a incidentes. Certificado CEH e Black Hat: Advanced Hacking and Securing Windows Infrastructure, atuo com pentest, análise forense, investigação de ameaças e gestão de vulnerabilidades. Busco compartilhar conteúdo técnico, análises e orientações práticas para ajudar profissionais, empresas e famílias a se protegerem melhor no ambiente digital.

Pentest Forense Digital Resposta a Incidentes Threat Investigation Gestão de Vulnerabilidades
🌐 Blog 💼 LinkedIn
Certificações e badges de Leandro Lucio