Enfermeiros remotos e estrangeiros acedem a dados clínicos sem os doentes saberem

Hospitais em vários países, com destaque para os Estados Unidos, recorrem cada vez mais a enfermeiros e assistentes clínicos remotos — frequentemente localizados no estrangeiro — que acompanham consultas médicas…

Zimbra: mais de 10.500 servidores vulneráveis a falha XSS com exploração ativa confirmada

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) adicionou em abril de 2026 uma nova vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite ao seu…

Meta sob fogo europeu: design viciante do Facebook e Instagram viola o DSA

A Comissão Europeia concluiu preliminarmente que o design viciante do Facebook e do Instagram — scroll infinito, autoplay e recomendações personalizadas — viola o Regulamento dos Serviços Digitais (DSA). A Meta arrisca uma multa até 6% do volume de negócios global, na esteira do precedente do TikTok.

Verão em modo de férias, cibercriminosos em modo de ataque: os riscos do IT reduzido

Os ciberataques aumentam cerca de 40% nos períodos de férias, com o verão a ser particularmente vulnerável. Equipas de TI reduzidas, ciclos de patching atrasados e maior "dwell time" criam a janela ideal para os atacantes — um risco que o Regime Jurídico da Cibersegurança já não permite ignorar.

Forg365: plataforma de phishing-as-a-service usa IA para atacar contas Microsoft 365

A plataforma de phishing-as-a-service Forg365, identificada pela ZeroBEC, ataca contas Microsoft 365 combinando adversary-in-the-middle, device code phishing e geração de iscas por IA integrada no painel. Nem o MFA convencional trava este tipo de ataque.

IA descobre 16 falhas no Windows: Microsoft promete mais atualizações de segurança

A Microsoft anunciou o MDASH, sistema de IA que já identificou 16 falhas no Windows, quatro críticas, corrigidas no Patch Tuesday de maio de 2026. Em paralelo, a Reuters revela que a CISA usa o modelo Mythos da Anthropic para auditar software federal dos EUA.

Grupo Helix usa vishing e abuso de MFA para roubar dados em ambientes SharePoint

O grupo de extorsão Helix combina vishing, device code phishing e abuso de MFA para comprometer contas Microsoft 365 e exfiltrar em massa ficheiros do SharePoint. A ReliaQuest liga a campanha à infraestrutura dos grupos BlackFile e ShinyHunters.

SDK da Injective no npm comprometido para roubar chaves de carteiras de criptomoedas

Um atacante comprometeu a conta GitHub de um colaborador da Injective Labs e publicou uma versão maliciosa do SDK oficial no npm, concebida para roubar chaves privadas e frases mnemónicas de carteiras cripto. O incidente expôs 17 pacotes adicionais e 87 dependentes no ecossistema npm.

IA descobre falhas críticas no Android que permitem controlo total do smartphone

Investigadores do Google Project Zero criaram uma cadeia de dois exploits que compromete totalmente dispositivos Pixel 9 e Pixel 10 sem interação do utilizador. Em paralelo, a IA Big Sleep já descobre falhas antes dos atacantes — mas Samsung e outros fabricantes continuam a demorar até 140 dias a corrigi-las.

UE assina Convenção da ONU contra o Cibercrime — mas adesão formal ainda não está concluída

A União Europeia está a avançar num processo que pode vir a reforçar significativamente a cooperação internacional contra o cibercrime: a assinatura, em outubro de 2025, da Convenção das Nações…