Briefing: Últimas sobre cibersegurança

Uma falha técnica interna na Cloudflare, relacionada com a gestão de bots, provocou uma interrupção massiva de serviços online a 18 de novembro, afetando plataformas como X e ChatGPT. A empresa descartou a hipótese de ciberataque, explicando que um ficheiro de configuração de tamanho excessivo causou a falha, que foi posteriormente corrigida, embora o impacto tenha sido global e significativo.

Uma falha de segurança no WhatsApp, conhecida pela Meta desde 2017 mas só recentemente corrigida, permitiu a extração massiva de dados de 3,5 mil milhões de utilizadores, incluindo números de telefone e fotografias de perfil. A investigação que revelou a falha também identificou riscos de segurança associados ao uso de aplicações não oficiais, levando a Meta a acelerar a implementação de novos sistemas de identificação para proteger a privacidade dos utilizadores.

A Iberia sofreu um acesso não autorizado a uma base de dados de um fornecedor externo, expondo dados pessoais limitados de clientes, como nomes, emails e números Iberia Club. Embora dados de pagamento não tenham sido comprometidos, a empresa contactou os afetados, implementou medidas de segurança adicionais como a autenticação de dois fatores e denunciou o caso às autoridades.

A Comissão Europeia propôs o 'Omnibus Digital', um pacote para simplificar a regulação digital, que visa reduzir os avisos de 'cookies' através da gestão centralizada de preferências no navegador. A proposta também flexibiliza regras de proteção de dados para impulsionar a IA, mas enfrenta críticas de organizações civis que alertam para um retrocesso nos direitos dos cidadãos e uma cedência às grandes tecnológicas.

Um ataque à cadeia de fornecimento digital, confirmado pela Google, expôs dados de mais de 200 empresas clientes da Salesforce. A intrusão não explorou uma falha na Salesforce, mas sim em aplicações de terceiros da Gainsight, permitindo aos atacantes roubar dados sensíveis e destacando os riscos crescentes associados a software integrado.

Foi descoberto um novo trojan bancário para Android, o Sturnus, que rouba credenciais financeiras através de ecrãs falsos e concede controlo total do dispositivo aos atacantes.

A sua capacidade mais alarmante é a de ler o conteúdo de aplicações de mensagens encriptadas, como WhatsApp e Telegram, utilizando as permissões de acessibilidade para monitorizar o ecrã, representando uma grave ameaça à privacidade e segurança.

A Google lançou uma atualização urgente para o Chrome para corrigir a sétima vulnerabilidade 'zero-day' do ano, identificada como CVE-2025-13223.

A falha, que afeta o motor JavaScript V8, está a ser ativamente explorada por atacantes através de páginas web maliciosas, sendo crucial que os utilizadores atualizem o navegador para a versão mais recente para se protegerem.

A Black Friday de 2025 regista um aumento exponencial do cibercrime, com um crescimento de 93% em novos domínios suspeitos e um disparo de 232% em sites falsos da Amazon. Os atacantes utilizam phishing, lojas fraudulentas e IA para roubar dados, explorando a incapacidade de muitos consumidores em identificar burlas, o que exige uma vigilância redobrada durante o período de promoções.

A Logitech confirmou uma violação de dados após um ataque do grupo de ransomware Clop, que alega ter roubado 1,8 TB de informação. A intrusão foi possível através da exploração de uma vulnerabilidade 'zero-day' num fornecedor externo, provavelmente relacionada com uma falha no Oracle E-Business Suite.

Embora as operações da empresa não tenham sido afetadas, foram expostos dados limitados de clientes e colaboradores.

Uma nova fraude, 'Ghost Tapping', explora a tecnologia NFC de pagamentos contactless para roubar dinheiro e dados em locais movimentados.

Os criminosos usam leitores de cartões escondidos ou disfarçam-se de voluntários para se aproximarem das vítimas.

Especialistas recomendam definir limites de transação, ativar alertas bancários e usar carteiras com proteção RFID para segurança.