Nas últimas semanas, vários organismos públicos europeus confirmaram que sofreram intrusões informáticas ligadas a falhas de segurança numa ferramenta de gestão de dispositivos móveis. Entre os afetados estão a Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Persoonsgegevens, AP) e a Ministério da Justiça dos Países Baixos, que notificaram o parlamento que seus sistemas foram comprometidos após se aproveitarem vulnerabilidades em Ivanti Endpoint Manager Mobile (EPMM).
Ivanti EPMM é uma plataforma desenhada para gerenciar terminais móveis, aplicativos e conteúdos corporativos, e geralmente usado para garantir políticas, implantar aplicativos e gerenciar estoques de dispositivos. Quando uma ferramenta com esse nível de controle fica exposta, não só peligran as equipes individuais, mas também a informação operacional associada à administração do serviço. É precisamente esse risco que evidenciaram os incidentes recentes: em vários casos os atacantes atingiram dados relativos ao funcionamento do serviço e aos próprios funcionários, incluindo nomes, e-mails profissionais e números de telefone.
A Comissão Europeia também informou de resultados semelhantes na sua infra-estrutura central de gestão móvel, onde se detectaram «traças» de uma tentativa de acesso que poderia ter permitido recolher nomes e números de celular de parte do seu pessoal. Segundo a instituição, o episódio foi conteúdo em menos de nove horas e não constam dispositivos móveis comprometidos, embora a pesquisa continue. A nota oficial da Comissão pode ser consultada na sua comunicado.
Por sua vez, a Finlândia tornou pública uma lacuna de dados em que o fornecedor estatal de tecnologias da informação, Valtori, explicou que até 50.000 funcionários públicos poderiam ter visto exposta sua informação laboral. Valtori atribuiu o incidente à exploração de uma vulnerabilidade zero-day no serviço de gestão de dispositivos e assegurou ter aplicado o adesivo no mesmo dia em que Ivanti publicou as correções.
Ivanti publicou soluções para duas falhas identificadas como CVE-2026-1281 e CVE-2026-1340, ambos com escores CVSS muito altos (9.8), que permitem execução remota de código sem autenticação. A empresa reconheceu ainda que essas vulnerabilidades já estavam sendo exploradas na natureza como zero-days. Para quem quiser contrastar a informação técnica, os registros públicos de vulnerabilidades oferecem as fichas correspondentes na base de dados nacional de vulnerabilidades: CVE-2026-1281 e CVE-2026-1340, e a própria Ivanti mantém um número com avisos de segurança em seu site oficial ( Ivanti Security Advisories).
Um detalhe preocupante que as pesquisas revelaram é que o sistema de gestão aparentemente não apagava de forma permanente algumas informações quando se eliminava: marcava dados como eliminados, mas na verdade os conservava. Isso amplifica o alcance do incidente, porque dados pertencentes a organizações que utilizaram o serviço ao longo do tempo poderiam ter ficado acessíveis. Além disso, em ambientes corporativos um mesmo dispositivo pode ter sido usado por várias pessoas, o que complica ainda mais a contabilidade da exposição.
Essas situações não são apenas um problema técnico: suas consequências incluem riscos de suplantação, phishing direcionado e ameaças à privacidade de juízes, funcionários e funcionários públicos. Quando os nomes são filtrados, e-mails de trabalho e números de telefone, os atacantes dispõem de material muito valioso para criar campanhas de engenharia social convincentes. Além disso, a afectação de sistemas de gestão implica a possibilidade de acessos posteriores mais profundos se não se agir rapidamente e transparência.
A agenda de resposta habitual passa por aplicar adesivos imediatos, auditar os acessos, forçar o restabelecimento de credenciais quando necessário e rever os controlos de autenticação multifator. Também é fundamental investigar se foram exfiltrados outros tipos de dados, avaliar a persistência do atacante e notificar as autoridades competentes e os afetados, seguindo as obrigações legais de cada país. No caso neerlandês, as informações sobre a comunicação com o Parlamento e as medidas iniciais são recolhidas no documento oficial acima referido.
De uma perspectiva mais ampla, esses incidentes voltam a colocar sobre a mesa a importância de gerir riscos na cadeia de fornecimento digital. Muitas organizações delegam funções críticas a fornecedores externos e ferramentas de gestão que, se contêm vulnerabilidades exploráveis, transformam um único ponto fraco em um vetor com impacto transversal. A vigilância dos adesivos, a segmentação das redes, a monitorização contínua e os acordos claros de segurança com os fornecedores são práticas que devem ser reforçadas após eventos deste tipo.
Para quem quiser aprofundar: o Centro Nacional de Cibersegurança dos Países Baixos (NCSC) é habitualmente o primeiro ator em coordenar respostas a este tipo de alertas a nível nacional, e publica guias e advertências úteis para administrações e empresas. Seu site em inglês contém recursos de orientação prática sobre gestão de incidentes. Paralelamente, as notas oficiais dos organismos em causa, como as referidas da Comissão Europeia, o Governo neerlandês e o Valtori, contribuem para a transparência em termos de alcance, cronologia e medidas tomadas.
Em suma, estamos perante um lembrete contundente de que as ferramentas que administram dispositivos e dados em ambientes corporativos e governamentais devem receber a mesma atenção em segurança que os sistemas que armazenam informações críticas. A rapidez em corrigir e a clareza na comunicação com funcionários e cidadãos são hoje a primeira linha de defesa contra vazamentos que, embora em muitos casos não comprometam dispositivos finais, podem minar a confiança pública e facilitar ataques posteriores.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...