O Eskudo News retorna com mais uma edição, trazendo os principais acontecimentos do último mês nos temas de cibersegurança, inteligência artificial, nuvem e inovação digital. Esta edição resume os fatos mais relevantes que impactam diretamente empresas, governos e profissionais da área.
“SessionReaper” no Magento: como o CVE-2025-54236 virou corrida contra o relógio no e-commerce
A vulnerabilidade crítica CVE-2025-54236, apelidada de SessionReaper, colocou lojas Adobe Commerce/Magento em alerta máximo. O bug — classificado inicialmente como falha de validação de entrada na REST API — permite tomada de contas de clientes e, em cenários observados por pesquisadores, pode evoluir para execução de código e controle pleno do ambiente. Mesmo após hotfix de setembro, ataques automatizados começaram a escalar seis semanas depois, com a Sansec registrando centenas de tentativas em poucas horas, sugerindo múltiplos atores ou infraestrutura distribuída de um mesmo operador. O advisory da Adobe confirma exploração ativa e reforça a urgência de correção. Help Net Security+2Sansec+2
Tecnicamente, o vetor explora validações insuficientes no processamento de entradas de API para assumir sessões e escalar privilégios. Em ambientes Magento, isso abre portas para sequestro de carrinho/checkout, criação de usuários administrativos, inserção de webshells PHP e manipulação de integrações (pagamentos, ERPs, antifraude). Relatos de campo destacam campanhas batizadas de “SessionReaper” mirando lojas desatualizadas e tentando bypassar controles com variação de IPs, o que dificulta bloqueios simples por reputação. O risco é ampliado pela taxa de patch baixa: estimativas indicam que cerca de 60% das lojas permaneciam vulneráveis dias após o começo dos ataques. TechRadar+1
Para varejistas, o impacto é direto no P&L: desvio de recebíveis, comprometimento de credenciais de clientes, alteração de configurações fiscais e dano reputacional com potencial de LGPD. A prioridade zero é aplicar os patches do boletim APSB25-88, revisar a compatibilidade com extensões de terceiros e desabilitar módulos não essenciais até concluir hardening. Em paralelo, ative/ajuste WAF com regras específicas para Magento/REST API, force rotação de chaves/tokens de integrações e revalide permissões de contas administrativas (inclusive chaves de API). Adoção de inventário de plugins e política de “tempo máximo sem atualização” reduz o backlog de risco. Centro de Ajuda Adobe+1
No pós-exposição, conduza caça direcionada: procure por padrões e IOCs publicados (nomes de arquivos anômalos, caminhos de webshell, requisições suspeitas à API), compare hashes do core Magento, verifique arquivos recentemente modificados em diretórios de mídia/var/pub e audite tarefas cron inesperadas. Ferramentas como o eComscan ajudam a detectar artefatos conhecidos de Magecart e backdoors comuns no ecossistema. Estabeleça monitoramento de egress para flagrar exfiltrações e configure alertas por criação/alteração de usuários admin e chaves. Se houver indícios de acesso, trate como incidente de segurança: preserve evidências, acione jurídico/privacidade e prepare comunicação a clientes e parceiros. Sansec+1
Para MSS/MDR, a oportunidade é padronizar playbooks de Magento: cobertura de WAF/EDR, verificação diária de versão/patch, regras de detecção comportamental (gravação de webshell, execuções de php fora do esperado), e tabletops com times de e-commerce e financeiro simulando indisponibilidade e fraude em checkout. Em resumo: o “novo normal” do varejo digital exige ciclo de patch disciplinado, telemetria de aplicação e governança de integrações — só assim o SessionReaper vira estudo de caso, e não crise
Ransomware em mutação: queda nos pagamentos acelera extorsão múltipla e pressiona cadeias de terceiros
A queda histórica nas taxas de pagamento a grupos de ransomware não significou arrefecimento da ameaça — apenas reorganizou o modelo de negócio criminoso. Para sustentar receitas, operadores migraram de “criptografar e negociar” para táticas de extorsão múltipla, combinando roubo massivo de dados, ataques DDoS para causar indisponibilidade, assédio direto a executivos e, cada vez mais, exploração de parceiros e fornecedores para multiplicar o impacto reputacional. O recado é claro: adversários não dependem mais de criptografia para criar alavanca; eles buscam superexposição do alvo e de sua rede de relacionamentos.
Esse reajuste tático aproveita duas tendências. Primeiro, a profissionalização da cadeia de valor do crime: afiliados compram acessos iniciais de brokers, subcontratam infostealers e terceirizam a “comunicação” com vítimas, mantendo ritmo de campanhas mesmo quando pagamentos caem. Segundo, o aperto regulatório e de seguros: com seguradoras mais seletivas e autoridades mais atentas, pagar resgate tornou-se juridicamente mais arriscado e financeiramente menos previsível — incentivando, do lado adversário, ameaças colaterais (divulgação de dados sensíveis de clientes, acionistas e parceiros) para forçar a transação por vias informais.
Para defesas corporativas, a implicação central é que backups imutáveis e testes de restauração — ainda essenciais — não bastam. É preciso reduzir a superfície de chantagem. Isso começa por criptografar sistematicamente dados sensíveis com gestão de chaves segregada, praticar minimização de dados (reter apenas o necessário), segmentar redes e ambientes (produção, dev, terceiros), e blindar identidades com MFA resistente a phishing, políticas de privilégio mínimo e rotação de segredos. No endpoint, EDR com detecção comportamental, bloqueio de exfiltração e contenção automatizada encurtam a janela de ataque. No tráfego, monitorar egress e usar DLP/inspeção para flagrar volumes e padrões suspeitos de saída.
A nova fase do ransomware também exige governança de cadeia: due diligence contínua, cláusulas contratuais de notificação de incidente, requisitos mínimos de segurança (MFA, patching, logging), testes de penetração em integrações e planos de contingência para substituição temporária de fornecedores críticos. Em paralelo, tabletop exercises devem simular cenários de extorsão sem criptografia, com envolvimento de jurídico, privacidade e comunicação, definindo linhas vermelhas, critérios de negociação ética e protocolos de preservação de evidências. Métricas como MTTD/MTTR, tempo de contenção por vetor e taxa de sucesso de restauração ganham peso, assim como monitoramento de vazamentos em espaços clandestinos.
Por fim, preparar-se para extorsão múltipla é tanto técnico quanto organizacional: alinhar risco, compliance (ex.: LGPD), relações com stakeholders e postura pública. Quem chega a uma crise com dados menos expostos, integrações mais seguras e narrativa pronta negocia de uma posição muito mais forte — e, muitas vezes, evita negociar.
Resultados das Big Tech sob o “fantasma de bolha” em IA
Capex recorde, pressão por ROI e o que CISOs/CTOs devem fazer antes da próxima teleconferência de resultados
O novo ciclo de resultados de Microsoft, Alphabet, Amazon e Meta chega com um elefante na sala: a possibilidade de uma bolha em inteligência artificial. Analistas e investidores avaliam se a maré de capital — estimada em cerca de US$ 400 bilhões de capex em IA apenas em 2025 — está se convertendo em margens sustentáveis ou apenas inflando expectativas. A Reuters reportou que o mercado acompanha com lupa a combinação de receitas de nuvem, custos de infraestrutura e sinais de monetização direta (copilots, agentes e publicidade assistida por IA) para julgar a “maturidade” do ciclo. Reuters+1
Sob o prisma de governança tecnológica, o dilema é claro: a pressão por “IA em tudo” sem arquitetura segura e métricas claras pode elevar risco operacional e custo total de propriedade. Relatos recentes reforçam a assimetria entre investimento e captura de valor: estudos mencionados indicam que uma minoria de projetos corporativos de IA atinge ganhos mensuráveis, em parte por dificuldade de integração em processos, lacunas de dados e falta de escalabilidade do modelo-operacional. Para quem precisa decidir orçamento, o recado é pragmático: priorizar casos com ROI rastreável (fraude, automação de SOC, previsão de demanda) e exigir “guardrails” desde o desenho — classificação de dados, trilhas de auditoria, segurança by design e limites de escopo para agentes autônomos. Reuters+1
Do lado macro, a discussão também envolve alocação de capital. A mesma Reuters destaca que o boom de IA vem deslocando o uso de caixa tradicional (como recompras), favorecendo capex recorde em data centers, chips e redes. Isso cria um “teste de estresse” para as demonstrações financeiras: se a aceleração de receita por IA (em nuvem e anúncios) não acompanhar, margens e fluxo de caixa podem ficar pressionados nos próximos trimestres, reacendendo o debate de bolha. Investidores buscam sinais: crescimento de workloads de IA generativa em Azure/AWS/Google Cloud, taxa de conversão de pilotos em contratos enterprise e elasticidade de preços de recursos de inferência/treino. Reuters+1
Para CISOs e CTOs, transformar hype em valor exige governar três frentes. Primeiro, portfólio de casos de uso: reduzir a “experiência-piloto eterna” e focar em poucos casos com métrica financeira clara (tempo poupado por analista SOC, redução de chargebacks, menor MTTR). Segundo, arquitetura e risco: padronizar uma referência segura (LAN de treino, pods de inferência, política de dados sintéticos, observabilidade do agente) e incluir avaliação de impacto algorítmico em change management. Terceiro, contratos e due diligence: SLAs de privacidade, imutabilidade de logs e garantias de continuidade (incluindo rotas de saída/portabilidade de modelos) para evitar aprisionamento tecnológico e riscos de supply chain. Reuters
Para CFOs e conselhos, há outro vetor a monitorar: perdas iniciais e custos de adoção. Pesquisa global citada pela Reuters indica que quase todas as grandes empresas registraram algum prejuízo inicial na implementação de IA, mesmo mantendo o otimismo de longo prazo. Isso reforça a necessidade de “orçamento de ramp-up” explícito (dados, MLOps, finops de nuvem, capacitação) e de fases-go/no-go vinculadas a KPIs, evitando programas que se perpetuam sem benefício líquido. Reuters
E os MSSPs? O momento é propício para separar joio do trigo. Ofereça pilotos rápidos com KPIs de negócio, guias de risco por caso de uso (prompt injection, vazamento de contexto, shadow AI), e integração nativa com SIEM/EDR para rastreabilidade do que o agente fez, quando e por quê. Entregáveis como matriz de controles por camada (dados, modelo, aplicação, agente) e runbooks de incidente com IA no loop tornam-se diferenciais competitivos — especialmente para clientes no Brasil, onde conformidade com LGPD, auditorias e requisitos de cadeia de terceiros pesam na decisão. Se os resultados desta semana confirmarem monetização consistente, a curva de adoção acelera; se vierem sinais de frustração, a etapa seguinte será de “racionalização” — sobrevivem os projetos com valor comprovado e governança sólida.
Convenção da ONU contra o Cibercrime: marco de cooperação global sob escrutínio de direitos
A assinatura da Convenção da ONU contra o Cibercrime por 65 países em Hanói consolida um passo histórico para padronizar pedidos de cooperação, preservação de evidências digitais e assistência jurídica mútua em investigações transnacionais. O tratado, adotado pela Assembleia Geral em dezembro de 2024, só entra em vigor 90 dias após a quadragésima ratificação — o que inaugura agora uma corrida política e regulatória dentro de cada país signatário para adequar procedimentos internos e compromissos internacionais. Para empresas com operações globais e ecossistemas extensos de terceiros, o efeito prático tende a ser a harmonização (e aceleração) de ordens de produção de dados e de canais 24×7 de cooperação entre autoridades, reduzindo fricções jurídicas e prazos hoje assimétricos entre jurisdições. The United Nations in Jordan+1
A agenda, porém, vem acompanhada de críticas contundentes. Organizações de direitos humanos e parte da indústria de tecnologia sustentam que a redação ampla de certos tipos penais e mecanismos de cooperação pode abrir espaço a vigilância excessiva, criminalização de pesquisa de segurança e supressão de liberdade de expressão — sobretudo em países com salvaguardas fracas. Cartas conjuntas de entidades civis e análises independentes pedem cláusulas mais claras para proteger jornalistas, pesquisadores e denunciantes, além de limites estritos para pedidos de dados transfronteiriços. Esse debate ganhou força na véspera da cerimônia de Hanói e deve acompanhar o ciclo de ratificações e regulamentações nacionais. Human Rights Watch+2gchumanrights.org+2
Do ponto de vista de governança corporativa, a recomendação é antecipar impactos: mapear onde dados e logs residem (incluindo provedores e filiais), revisar cláusulas contratuais sobre cooperação com autoridades, e estabelecer playbooks de resposta que contemplem ordens internacionais de preservação e produção de evidências. Em SOCs e equipes forenses, vale padronizar cadeias de custódia, trilhas de auditoria e retenção de logs conforme prazos que podem se tornar mais rígidos em determinados mercados. A integração com departamentos jurídico e de privacidade será vital para balancear obrigações de cooperação e direitos dos titulares, especialmente quando coexistirem regras de proteção de dados como a LGPD. Help Net Security
Para o Brasil, a adesão sinaliza alinhamento a um padrão internacional que pode fortalecer investigações de fraudes financeiras, golpes transnacionais e crimes organizados com infraestrutura digital. A experiência brasileira em cooperação jurídica internacional e em processamento de ordens de dados de big techs tende a facilitar a implementação, mas exigirá ajustes finos entre autoridades, Ministério Público e empresas custodiantes de dados. No médio prazo, a efetividade dependerá do equilíbrio entre celeridade investigativa e garantias fundamentais — um eixo que a própria ONU e diversos signatários reconhecem como sensível, ao mesmo tempo em que celebram o tratado como instrumento necessário frente ao crescimento de ransomware, phishing e mercados ilícitos on-line.
Para acompanhar todo lançamento do Eskudo News, nos siga no Linkedin do Eskudo e também no da 2R Datatel!