Radar Semanal de Cibersegurança — 30/jun/2026
🇧🇷 CASO DA SEMANA: Cooperativa de Brasília — ataque ao Pix com ajuda de dentro
Um funcionário de uma cooperativa de crédito de Brasília ajudou um grupo criminoso a invadir a rede da instituição e instalar um sistema que disparava transações Pix automaticamente — uma a cada dois segundos. Resultado: 425 transferências fraudulentas e mais de R$5 milhões desviados.
A Polícia Civil do DF identificou que o grupo explorou uma falha em um microsserviço do sistema Pix da cooperativa ainda em dezembro de 2025. O ataque passou meses silencioso até ser descoberto.
📋 Fatos públicos: Segundo a investigação da DRCC/PCDF e reportagens do G1 e Metrópoles (25/jun/2026), o sistema fazia transações bancárias automaticamente com valores fracionados, driblando sistemas de monitoramento. Um funcionário da própria cooperativa participou do esquema.
Por que isso importa para qualquer fintech, IF ou operação de pagamentos?
🔹 Acesso indevido a ação crítica — Quem (ou qual API) consegue disparar um Pix, um estorno ou uma liberação de crédito sem dupla validação? Não é só sobre MFA de usuário — é sobre autorização de API, token de sistema e privilégio de conta técnica.
🔹 API que permite abuso de função — O ataque não foi "invadiram o servidor". Foi um microsserviço aceitando chamadas que não deveria aceitar, no volume e frequência que não deveria permitir. Testar lógica de negócio é tão importante quanto testar CVEs.
🔹 Credencial comprometida + insider threat — Um acesso interno legítimo virou vetor de ataque. Se uma credencial de operador vazar ou for usada maliciosamente, em quanto tempo o time de segurança detecta?
👉 Esse caso mostra exatamente as classes de risco que toda operação com sistema de pagamento precisa testar, monitorar e documentar continuamente — acesso, API, credencial, superfície e auditoria. Não é sobre ferramenta X ou Y. É sobre ter visibilidade do que pode ser abusado antes de virar manchete.
Fonte: G1 DF · Metrópoles
⚡ MAIS 3 CASOS QUE ACENDERAM O RADAR
🏛️ Prefeituras de MG perdem R$17 milhões em golpe cibernético — e a Caixa admite falha
Pelo menos 12 prefeituras mineiras foram lesadas por um golpe que desviou cerca de R$17 milhões de contas oficiais na Caixa Econômica Federal. Em audiência de conciliação na Justiça Federal (29/jun), a própria CEF admitiu que houve falhas nos seus sistemas em alguns casos. A Polícia Federal abriu inquérito. A cidade de Naque (6.500 habitantes) foi a vítima mais recente.
📌 Classe de risco: acesso indevido a sistema bancário oficial, superfície de ataque em contas institucionais, resposta lenta a incidente. Isso não é "golpe de phishing no prefeito" — é falha de autenticação e autorização em canal institucional. Se o banco oficial admite a falha, qualquer empresa com conta pública exposta ao mesmo vetor deveria estar testando seu ambiente hoje.
Fonte: Estado de Minas
🔗 Apple, Tata Electronics e o pesadelo do supply chain
O grupo World Leaks aplicou ransomware na indiana Tata Electronics — fornecedora da Apple — e vazou 200 mil arquivos na dark web. Fotos do iPhone 18 Pro, especificações técnicas e a lista completa de fornecedores da Apple estão expostos. O ataque acontece a meses do lançamento do novo iPhone (set/2026).
📌 Classe de risco: terceiro/supply chain, superfície de ataque desconhecida, dark web. Sua segurança é tão forte quanto a do seu fornecedor mais fraco. Toda empresa com cadeia de fornecedores com acesso a dados, sistemas ou infraestrutura deveria mapear e monitorar esse risco — continuamente, não só no onboarding.
Fonte: G1 Tecnologia
🏦 JPMorgan: "ciberataque é risco maior que calote" — e o Brasil responde
O JPMorgan publicou relatório classificando ataque cibernético como "um dos maiores riscos não precificados do sistema financeiro global" — maior que crédito. O banco recomenda testes de estresse simulando corrida a saques provocada por incidente cibernético (algo como o que derrubou o Credit Suisse em 2023, mas acionado por brecha de segurança, não por rumor).
No mesmo dia, a Febraban e Deloitte divulgaram que 100% dos bancos brasileiros apontam cibersegurança como prioridade máxima de investimento em 2026 — R$50,4 bilhões em TIC. O recado é claro: o board que ainda trata segurança como "coisa do TI" está correndo um risco que o maior banco do mundo já precificou.
📌 Classe de risco: risco sistêmico, controle que só existe no papel, resposta lenta. A pergunta não é mais "temos ou não ferramenta de segurança?" — é "conseguimos provar, com evidência técnica, que nossos controles funcionam sob ataque real?"
Fonte: Startups.com.br
📊 Menção rápida: Base MORGUE — 251 milhões de CPFs na dark web
A suposta base "MORGUE", com 251.720.444 registros de CPF e dados pessoais de brasileiros, foi anunciada em fóruns da dark web nesta semana. Se confirmada, é a maior exposição de PII já registrada no país. O caso reacende o debate sobre o uso de CPF como fator único de autenticação.
📌 Classe de risco: exposição massiva de PII, dark web. Quando 251 milhões de CPFs estão circulando, "CPF como prova de identidade" vira risco de negócio, não dado cadastral.
Fonte: Business Leaders
📌 PADRÃO DA SEMANA
Olhando os 5 casos juntos, o padrão é nítido: acesso + API + credencial + terceiro = superfície real de abuso. Nenhum desses ataques foi "hacker invadiu o datacenter". Foram falhas de autorização em API (cooperativa), autenticação em canal institucional (prefeituras), comprometimento de fornecedor (Apple/Tata) e exposição de identidade em escala nacional (MORGUE).
→ Quem testa isso continuamente? Quem monitora? Quem documenta?
Teste contínuo de intrusão com evidência técnica para o regulador.
Conhecer o Security IA