Em abril, uma vulnerabilidade em uma VPN resultou em vazamentos de dados em mais de setenta instituições financeiras que utilizam a infraestrutura do software Marquis. Apesar de existir um patch e as instituições terem realizado testes de penetração recentes, a exposição de dados não foi evitada. O relatório Mandiant M-Trends 2026 aponta que o tempo médio de permanência de ameaças em 2025 foi de quatorze dias, com atores de espionagem permanecendo em média 122 dias. A CrowdStrike também destacou que os serviços financeiros estão entre os setores mais visados por intrusões. As regulamentações, como PCI DSS e NYDFS, enfatizam a necessidade de testes de penetração contínuos, não apenas anuais, para lidar com as mudanças frequentes na infraestrutura digital. Um exemplo alarmante foi a descoberta de uma falha em um portal de originação de hipotecas, onde dados de várias instituições eram acessíveis sem autenticação. Essa situação ilustra a necessidade urgente de um modelo de testes contínuos, que responda rapidamente às mudanças na infraestrutura, em vez de esperar por avaliações anuais. A falta de validação durante a maior parte do ano expõe as instituições a riscos significativos, tornando essencial a adoção de práticas de segurança mais dinâmicas e responsivas.
Fonte: https://www.bleepingcomputer.com/news/security/what-345-days-of-untested-exposure-looks-like-at-a-bank/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/06/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade em VPN expõe dados de instituições financeiras
RESUMO EXECUTIVO
O incidente destaca a vulnerabilidade das instituições financeiras a ataques cibernéticos, especialmente em um ambiente digital em rápida evolução. A falta de testes contínuos pode resultar em exposições significativas, colocando em risco a conformidade regulatória e a segurança dos dados dos clientes.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a fraudes e vazamentos de dados.
Operacional
Dados de várias instituições financeiras foram acessíveis sem autenticação, aumentando o risco de fraudes.
Setores vulneráveis
['Setor financeiro', 'tecnologia', 'fintechs']
📊 INDICADORES CHAVE
Mais de setenta instituições financeiras afetadas.
Indicador
Tempo médio de permanência de ameaças em 2025 foi de quatorze dias.
Contexto BR
Atores de espionagem permanecem em média 122 dias.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a segurança de APIs e portais de terceiros utilizados.
2
Implementar testes de penetração contínuos e monitoramento de vulnerabilidades.
3
Monitorar continuamente a exposição de dados e a eficácia das medidas de segurança.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança contínua das infraestruturas digitais, especialmente em um cenário de mudanças rápidas e frequentes.
⚖️ COMPLIANCE
Implicações de conformidade com a LGPD e regulamentações financeiras locais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
