95% dos responsáveis de segurança sentem pressão para esconder más notícias
Um novo relatório da Checkmarx, "The Future of Application Security in the Era of AI," concluiu que 95% dos CISOs sentem pressão para suprimir ou adiar conclusões de segurança relacionadas com conformidade.
A pressão vem de todos os lados: o conselho de administração, as relações públicas, os departamentos de produto e vendas, e os executivos de topo preocupados com o momento, o clássico "não antes da divulgação de resultados". Raramente é dito em voz alta.
As conclusões de segurança são enquadradas como obstáculos aos objetivos de negócio, e não como informação sobre o risco. Os especialistas citados apontam para uma solução concreta: integrar o CISO na estratégia de negócio e tornar a divulgação regular algo normal antes de uma crise, não durante.
Fonte: Dark Reading · Checkmarx report, 15 Jun 2026
A minha análise
95%. Leia esse número outra vez. Quase todos os responsáveis de segurança já foram pressionados a ficar calados, a abrandar ou a suavizar uma conclusão. Não por vilões. Por um conselho que protege um número, uma equipa de vendas que protege um negócio, uma equipa de comunicação que protege uma data de lançamento.
Eis a armadilha. A pressão quase nunca é escrita. Ninguém lhe envia um e-mail a dizer "enterre isto". Simplesmente sente o ambiente gelar quando o levanta. Essa negação plausível é exatamente o que a torna perigosa, e exatamente por isso funciona.
A resposta não está em ser heroico. Está em tornar a divulgação banal. Normalize-a quando nada está em chamas, para que quando algo estiver, dizer a verdade já seja o hábito. Se o seu conselho de administração só ouve falar de segurança após um incidente, perdeu o argumento há meses.
86 000 credenciais Fortinet, e ninguém precisou de forçar a entrada
Uma campanha agora denominada FortiBleed produziu uma base de dados verificada com mais de 86 000 credenciais funcionais para firewalls e VPNs Fortinet expostas à internet, em 194 países. O investigador Kevin Beaumont estima que representam cerca de metade de todas as firewalls Fortinet expostas online.
Muitas das palavras-passe foram roubadas em incidentes anteriores e nunca foram alteradas. Um ator de língua russa decifra os hashes do SSL VPN e pivota para o Active Directory interno.
A 18 de junho, a CISA emitiu um alerta a pedir aos clientes Fortinet que reponham as credenciais, armazenem os acessos de administração com PBKDF2, rever os registos, ativem MFA resistente a phishing e restrinjam o acesso à gestão.
Fonte: SecurityWeek · CISA alert, 18 Jun 2026
A minha análise
Metade das firewalls Fortinet expostas à internet, com credenciais funcionais guardadas numa base de dados compilada por alguém. E parte da situação é pior do que uma violação recente: uma parte dessas palavras-passe foi roubada há muito tempo e simplesmente nunca foi alterada.
Esta é a linha a reter. Os atacantes não estão a forçar a entrada. Estão a autenticar-se. Credenciais válidas, porta da frente, sem explorar qualquer vulnerabilidade.
Se utiliza equipamento de perímetro Fortinet, a CISA deu-lhe a lista de fim de semana: encerrar as sessões, repor as credenciais, forçar MFA resistente a phishing, restringir o acesso à gestão. Mas a lição está a montante de tudo isso. Uma palavra-passe roubada que nunca altera não é um incidente de que sobreviveu. É uma chave permanente que está a pagar para manter cortada.
Um token GitHub esquecido. Dois meses dentro da Novo Nordisk.
A Novo Nordisk, a farmacêutica dinamarquesa fabricante do Ozempic, divulgou uma violação a 11 de junho. O vetor de entrada reportado foi um único token de acesso GitHub com privilégios elevados, exposto no JavaScript do lado do cliente num subdomínio pouco conhecido.
A partir daí, os atacantes clonaram repositórios privados, recolheram mais credenciais presentes no código e aprofundaram o acesso.
O grupo que reivindica o ataque afirma ter permanecido mais de dois meses no interior e ter retirado mais de 700 000 ficheiros, cerca de 1,3 TB, incluindo código-fonte, dados de medicamentos, modelos de IA internos e registos de aproximadamente 11 500 participantes pseudonimizados em ensaios clínicos, tendo começado a fazer fugas de informação após um resgate de 25 milhões de dólares não ter sido pago.
O veredicto dos especialistas: os repositórios e as pipelines de CI/CD são agora sistemas de produção, as credenciais de máquina raramente têm um responsável ou um calendário de rotação, e o raio de impacto daquela única credencial foi a totalidade da violação.
Fonte: Dark Reading · disclosed 11 Jun 2026
A minha análise
Um token. Exposto no código do lado do cliente, num subdomínio que ninguém estava a monitorizar. Foi esse o único ponto de entrada. Dois meses no interior de uma das maiores farmacêuticas do planeta, e a sair pela porta com código-fonte, dados de medicamentos e registos de ensaios clínicos.
A mesma história que a do FortiBleed, com um disfarce diferente. Ninguém violou um perímetro. Estavam autenticados. E as credenciais adicionais de que necessitavam para ir mais fundo estavam simplesmente nos repositórios, à espera.
A parte incómoda para si: com quase toda a certeza, tem centenas de credenciais de máquina, tokens, contas de serviço e chaves de API sem responsável, sem rotação, sem monitorização. Monitoriza as pessoas. Quem monitoriza as chaves? Trate os repositórios e as pipelines como produção, porque para um atacante o repositório de código são as plantas do edifício, não um arquivo.
Não pode manter a caixa de correio de um ex-colaborador. Esta semana tive de explicar isso.
Esta semana realizei uma auditoria ISO 27001 para um organismo de certificação. A empresa detém o certificado há anos e ficou genuinamente surpreendida ao saber que não pode simplesmente manter as caixas de correio de ex-colaboradores ativas. Não é novidade.
No início deste ano, a autoridade de proteção de dados da Bélgica aplicou uma coima de cerca de 176 000 euros a uma grande empresa tecnológica por exatamente isto: um ex-colaborador descobriu que a sua caixa de correio continuava ativa seis meses após a saída. A posição do regulador é direta.
Pode invocar um interesse legítimo para manter uma caixa de correio durante um curto período de transição, pense num mês, e depois tem de ser eliminada. E restringir o acesso não equivale a eliminá-la. Os dados armazenados continuam a ser tratados.
Fonte: Baker McKenzie · Belgian DPA decision, May 2026
A minha análise
O mesmo tema dos três casos anteriores, mas pelo lado da conformidade. Acessos e dados que deveriam ter desaparecido, ainda presentes. Ninguém atacou nada. A exposição já estava dentro da organização.
Dois erros frequentes. Primeiro: bloquear uma conta não é eliminá-la. Uma caixa de correio a que já não consegue aceder continua a ser armazenada, e o armazenamento constitui tratamento ao abrigo do GDPR. O regulador disse-o claramente. Segundo: essa caixa de correio não contém apenas os dados do ex-colaborador. Está cheia de dados de todas as pessoas que lhe escreveram. O raio de impacto é maior do que uma única pessoa, uma vez mais.
E eis a parte que deve incomodar: esta empresa estava certificada. Há anos. E ainda assim errou. Um referencial diz-lhe como é que o bom aspeto. Não faz o offboarding por si. Por isso, verifique honestamente: quando alguém sai, o que acontece de facto à caixa de correio, e quem confirma que foi eliminada?
O meu novo webinar PECB está disponível: fechar o gap de decisão
A propósito de decisões tomadas sob pressão: o meu webinar para a PECB está agora disponível online.
Chama-se "Closing the Decision Gap: How Risk-Informed Decisions Build Digital Trust." É sobre o espaço entre conhecer os seus riscos e agir efetivamente sobre eles, e sobre por que razão as boas decisões de risco são o que constrói confiança, dentro da organização e junto das pessoas a quem serve.
Se o fio condutor desta edição o tocou, esta é a versão estratégica da mesma conversa.
Fonte: Watch on YouTube · PECB webinar
A minha análise
Olhe para os quatro tópicos acima. Cada um deles é, no fundo, uma decisão que ninguém tomou a tempo. Rodar a chave. Eliminar a caixa de correio. Dizer a coisa difícil ao conselho de administração. A gestão do risco vive ou morre nesse gap entre saber e fazer.
Esse gap é o tema central da apresentação. Se é quem tem de tomar essas decisões, ou de as defender perante quem preferia não as ouvir, veja-a. Depois diga-me se errei.