Vulnerabilidade em VPN expõe dados de instituições financeiras
Em abril, uma vulnerabilidade em uma VPN resultou em vazamentos de dados em mais de setenta instituições financeiras que utilizam a infraestrutura do software Marquis. Apesar de existir um patch e as instituições terem realizado testes de penetração recentes, a exposição de dados não foi evitada. O relatório Mandiant M-Trends 2026 aponta que o tempo médio de permanência de ameaças em 2025 foi de quatorze dias, com atores de espionagem permanecendo em média 122 dias. A CrowdStrike também destacou que os serviços financeiros estão entre os setores mais visados por intrusões. As regulamentações, como PCI DSS e NYDFS, enfatizam a necessidade de testes de penetração contínuos, não apenas anuais, para lidar com as mudanças frequentes na infraestrutura digital. Um exemplo alarmante foi a descoberta de uma falha em um portal de originação de hipotecas, onde dados de várias instituições eram acessíveis sem autenticação. Essa situação ilustra a necessidade urgente de um modelo de testes contínuos, que responda rapidamente às mudanças na infraestrutura, em vez de esperar por avaliações anuais. A falta de validação durante a maior parte do ano expõe as instituições a riscos significativos, tornando essencial a adoção de práticas de segurança mais dinâmicas e responsivas.
