hu, 09 Apr 2026
← VoltarA figura expôs 967.200 registros de e-mail sem qualquer exploração, destacando vulnerabilidades arquitetônicas. Esta violação demonstra as limitações da MFA na prevenção da exposição de dados.
A violação do Figure expôs 967.200 registros de e-mail sem uma única exploração. Compreender o que isso permite — e por que o seu MFA não pode contê-lo — é um problema de arquitetura, não um problema de educação do usuário. Em fevereiro de 2026, a TechRepublic informou que a Figure, uma empresa de serviços financeiros, expôs quase 967.200 registros de e-mail em uma violação de dados recentemente divulgada. Nenhuma vulnerabilidade foi acorrentada.
Nenhum dia zero foi queimado. Os registros eram acessíveis e agora estão nas mãos do adversário. A cobertura de violações como essa tende a parar na contagem. Esse é o lugar errado para parar.
O número de registros expostos não é o evento — é o inventário inicial para o evento seguinte. Para entender o risco real, você deve seguir a cadeia de ataque que uma exposição de credenciais como essa permite, passo a passo, e perguntar honestamente se os controles de autenticação em seu ambiente podem interrompê-la a qualquer momento. A maioria não consegue. Aqui está o porquê.
O que os adversários fazem com 967.000 registros de e-mail Os endereços de e-mail expostos não são dados estáticos. São insumos operacionais. Poucas horas depois de um conjunto de registros como esse ser disponibilizado, os adversários o executam em vários fluxos de trabalho paralelos simultaneamente. O primeiro é o preenchimento de credenciais.
É quase certo que clientes e funcionários reutilizaram senhas em vários serviços. Os adversários combinam os endereços expostos com bancos de dados de violações de incidentes anteriores — LinkedIn, Dropbox, RockYou2024 — e testam os pares resultantes em portais corporativos, gateways VPN, Microsoft 365, Okta e provedores de identidade em escala. A automação cuida do volume. As taxas de sucesso em campanhas de preenchimento de credenciais contra novas listas de e-mail são rotineiramente de dois a três por cento.
Em 967.000 registros, isso representa 19.000 a 29.000 pares de credenciais válidos. O segundo fluxo de trabalho é o phishing direcionado. Ferramentas assistidas por IA agora podem gerar campanhas de phishing personalizadas a partir de uma lista de e-mail em minutos. As mensagens fazem referência à organização pelo nome, personificam comunicações internas e são visualmente indistinguíveis de correspondência legítima.
A segmentação específica do destinatário – usando o cargo, o departamento ou dados públicos do LinkedIn para personalizar a atração – é uma prática padrão, e não uma capacidade reservada aos atores do Estado-nação. A terceira é a engenharia social do help desk. Armados com um endereço de e-mail válido e OSINT básico, os adversários se fazem passar por funcionários em ligações para equipes de suporte de TI, solicitando redefinições de senha, redefinições de dispositivos MFA ou desbloqueios de contas. Esse vetor de ataque ignora totalmente a tecnologia de autenticação – ele tem como alvo o processo humano que existe para lidar com falhas de autenticação.
Em cada um desses fluxos de trabalho, nenhuma vulnerabilidade técnica é necessária. O objetivo do adversário não é invadir. É fazer login como um usuário válido. A violação não cria acesso.
Cria as condições sob as quais o acesso se torna possível através do próprio sistema de autenticação. A plataforma de identidade garantida biométrica do Turn Authentication in Assurance Token foi criada para organizações onde a falha de autenticação não é um resultado aceitável. Veja como o Token pode fortalecer a garantia de identidade em sua pilha IAM, SSO e PAM existente. Saiba mais Por que a MFA herdada não pode interromper esta cadeia Esta é a parte da análise que a maioria das análises post-mortem de incidentes subestimam.
As organizações leem sobre uma exposição de credenciais e concluem que a implantação de MFA as protege. Para a cadeia de ataque descrita acima, essa conclusão é estruturalmente incorreta. As ferramentas modernas contra adversários executam o que os pesquisadores de segurança chamam de retransmissão de phishing em tempo real, às vezes chamado de ataque adversário no meio (AiTM). A mecânica é precisa.
Um adversário cria um proxy reverso que fica entre a vítima e o serviço legítimo. Quando a vítima insere credenciais na página falsificada, o proxy encaminha essas credenciais para o site real em tempo real. O site real responde com um desafio de MFA. O proxy encaminha esse desafio para a vítima.
A vítima responde – porque a página parece l legítimo e o prompt do MFA é real. O proxy encaminha a resposta. O adversário recebe uma sessão autenticada. MFA de notificação push, códigos únicos de SMS e aplicativos autenticadores TOTP são todos vulneráveis a essa retransmissão.
Eles autenticam a troca de um código. Eles não verificam se o indivíduo que completa a troca é o titular autorizado da conta. Eles não conseguem distinguir uma sessão direta de uma sessão com proxy. Os kits de ferramentas que automatizam esse ataque – Evilginx, Modlishka, Muraena e seus derivados – estão disponíveis publicamente, são mantidos ativamente e não exigem nenhuma habilidade comercial avançada para operar.
A capacidade não é exótica. É a linha de base. A fadiga do MFA agrava isso. Os adversários que obtiverem credenciais válidas, mas não puderem retransmitir a sessão em tempo real, acionarão notificações push repetidas até que um usuário aprove uma por frustração ou confusão.
Este ataque foi utilizado com sucesso contra organizações com programas de segurança maduros, inclusive em incidentes que receberam cobertura pública significativa. O traço comum entre todas essas técnicas: o MFA legado coloca um ser humano no ponto de decisão final da cadeia de autenticação e, em seguida, depende desse ser humano para fazer a chamada correta sob condições especificamente projetadas para derrotá-la. O problema estrutural que a MFA herdada não consegue resolver A resposta padrão do setor de segurança às falhas de autenticação é a educação do usuário. Treine as pessoas para reconhecer o phishing.
Ensine-os a verificar solicitações inesperadas de MFA. Lembre-os de não aprovar solicitações que não tenham iniciado. Esta resposta não está errada. É insuficiente, e a insuficiência é arquitetónica e não motivacional.
Um ataque de retransmissão não exige que o usuário reconheça uma página de phishing. A solicitação de MFA que recebem é real, emitida pelo serviço legítimo, entregue através do mesmo aplicativo que usam todos os dias. Não há nada anômalo para o usuário detectar. O ataque foi projetado para ser invisível para o ser humano no circuito – e é.
O problema mais profundo é que a arquitetura de autenticação que a maioria das organizações implementou não foi concebida para responder à questão que realmente importa num ambiente pós-violação: o indivíduo autorizado estava fisicamente presente e verificado biometricamente no momento da autenticação? As notificações push não respondem a esta pergunta. Os códigos SMS não respondem a esta pergunta. TOTP não responde a esta pergunta.
Os tokens de hardware USB respondem a uma pergunta relacionada, mas diferente: eles provam que o dispositivo registrado estava presente, e não a pessoa autorizada. Auditores, reguladores e seguradoras cibernéticas estão cada vez mais estabelecendo esta distinção de forma explícita. A pergunta “você pode provar que o indivíduo autorizado estava lá?” está aparecendo em avaliações CMMC, exames NYDFS e questionários de subscritores. A presença de dispositivos não é mais aceita como proxy da presença humana em contextos de acesso de alto risco.
O que a autenticação resistente a phishing realmente requer FIDO2/WebAuthn é citado com frequência nesta conversa e é um avanço significativo – mas não é suficiente por si só. As implementações de chave de acesso padrão vinculam a credencial a um dispositivo ou conta na nuvem. As chaves de acesso sincronizadas na nuvem herdam as vulnerabilidades da conta na nuvem: ataques de troca de SIM contra o número de telefone de recuperação, controle de conta por meio de phishing de credenciais, exploração do fluxo de recuperação. As chaves de acesso vinculadas ao dispositivo comprovam a posse do dispositivo.
Eles não provam a presença humana. A autenticação resistente a phishing que fecha o vetor de ataque de retransmissão requer três propriedades simultaneamente: Vinculação de origem criptográfica: a credencial de autenticação está matematicamente vinculada ao domínio de origem exato. Um site falsificado não pode produzir uma assinatura válida porque o domínio não corresponde. O ataque falha antes que qualquer credencial seja transmitida.
a credencial de autenticação está matematicamente vinculada ao domínio de origem exato. Um site falsificado não pode produzir uma assinatura válida porque o domínio não corresponde. O ataque falha antes que qualquer credencial seja transmitida isso. Chaves privadas vinculadas ao hardware que nunca saem do hardware seguro: a chave de assinatura não pode ser exportada, copiada ou exfiltrada.
O comprometimento do endpoint não compromete a credencial. a chave de assinatura não pode ser exportada, copiada ou exfiltrada. O comprometimento do endpoint não compromete a credencial. Verificação biométrica ao vivo do indivíduo autorizado: não um modelo biométrico armazenado que possa ser reproduzido, mas uma correspondência em tempo real que confirma que a pessoa autorizada está fisicamente presente no momento da autenticação.
Quando todas as três propriedades estão presentes, um ataque de retransmissão não tem caminho viável. O adversário não pode produzir uma assinatura criptográfica válida de um site falsificado. Eles não podem retransmitir uma sessão porque a ligação criptográfica falha no momento em que a origem muda. Eles não podem usar um dispositivo roubado porque a verificação biométrica falha sem o indivíduo autorizado.
Eles não podem fazer a engenharia social de uma aprovação porque não há solicitação de aprovação – a autenticação é concluída com uma correspondência biométrica ao vivo no hardware registrado ou não é concluída. Token: identidade criptográfica que verifica o ser humano, não o dispositivo O TokenCore foi construído com base em um princípio único e inflexível: verificar o ser humano, não o dispositivo, a credencial ou a sessão. A maioria dos produtos de autenticação acrescenta fatores a uma base fraca. O token substitui a base.
A plataforma combina biometria aplicada, autenticação criptográfica vinculada a hardware e verificação de proximidade física – três propriedades que devem ser satisfeitas simultaneamente para que o acesso seja concedido. Não há alternativa. Não há código de bypass que um usuário possa inserir no campo. O indivíduo autorizado está presente e verificado ou o acesso não ocorre.
Isto é importante precisamente por causa da cadeia de ataque descrita acima. A plataforma Biometric Assured Identity da Token elimina cada link: Sem Phishing. Cada autenticação está criptograficamente vinculada ao domínio de origem exato. Uma página de login falsificada não produz assinatura válida – o token simplesmente se recusa a autenticar.
Cada autenticação está criptograficamente vinculada ao domínio de origem exato. Uma página de login falsificada não produz assinatura válida – o token simplesmente se recusa a autenticar. Sem repetição. A chave de assinatura privada nunca sai do hardware.
Uma sessão retransmitida não pode ser reconstruída porque o material criptográfico que ela precisaria replicar é fisicamente inacessível. A chave de assinatura privada nunca sai do hardware. Uma sessão retransmitida não pode ser reconstruída porque o material criptográfico que ela precisaria replicar é fisicamente inacessível. Sem delegação.
Uma correspondência de impressão digital ao vivo é necessária para cada evento de autenticação. Um colega, um adversário com um dispositivo roubado ou um alvo de engenharia social não pode concluir a autenticação em nome do indivíduo autorizado. Uma correspondência de impressão digital ao vivo é necessária para cada evento de autenticação. Um colega, um adversário com um dispositivo roubado ou um alvo de engenharia social não pode concluir a autenticação em nome do indivíduo autorizado.
Sem exceções. Não há código, fluxo de recuperação e nenhuma substituição de suporte técnico que possa substituir a presença biométrica. O controle é absoluto porque o risco é absoluto. O fator de forma também é importante.
O token é sem fio – proximidade Bluetooth, sem necessidade de porta USB. A autenticação leva de um a três segundos: o usuário inicia uma sessão, digita sua impressão digital no dispositivo Token, a proximidade do Bluetooth confirma a presença física a um metro de distância e o acesso é concedido. Para administradores de plantão, operadores de pregão e empreiteiros de defesa que trabalham em várias estações de trabalho, isso elimina o atrito que impulsiona a TI oculta e o comportamento de solução alternativa que os tokens de hardware legados criam. Ao contrário das alternativas baseadas em USB, o Token pode ser atualizado em campo pelo ar.
À medida que os adversários evoluem em suas ferramentas, os controles criptográficos do Token podem ser atualizados remota e imediatamente — sem substituição de hardware ou reemissão de dispositivos. Os investidores t não expira quando o cenário de ameaças muda. O token verifica o humano. Não a sessão.
Não o dispositivo. Não o código. O humano. Mitigue riscos e proteja vulnerabilidades com TokenCore A avaliação honesta A violação da Figura produzirá ataques de autenticação downstream.
O mesmo acontecerá com a próxima violação e a seguinte. A infraestrutura adversária que executa preenchimento de credenciais, phishing gerado por IA e ataques de retransmissão em tempo real opera continuamente contra registros de e-mail expostos. A questão não é se esses ataques serão tentados contra o seu ambiente. Eles serão.
A questão relevante é se a sua arquitetura de autenticação requer o julgamento humano para ter sucesso — ou se ela foi projetada de forma que o julgamento humano não seja o ponto de falha. A MFA herdada, em todas as suas formas comuns, requer julgamento humano. Um usuário deve reconhecer a anomalia, questionar o prompt e tomar a decisão correta sob pressão adversária. Essa é uma dependência frágil num ponto de controle crítico, e os adversários construíram todo um conjunto de ferramentas para explorá-la.
O token remove essa dependência. O dispositivo assina o domínio legítimo com uma correspondência biométrica confirmada – ou não faz nada. Não há prompt para manipular. Não há decisão de engenharia.
Não há exceções. Isso não é um recurso. É o requisito arquitetônico de autenticação que se mantém sob as condições que esta violação, e todas as violações semelhantes, criam. Veja como o Token fecha a lacuna A plataforma Biometric Assured Identity do Token foi criada para organizações onde a falha de autenticação não é um resultado aceitável — empreiteiros de defesa, instituições financeiras, infraestrutura crítica e ambientes corporativos com requisitos de acesso de alto privilégio.
Criptográfico. Biométrico. Sem fio. Sem phishing.
Sem repetição. Nenhuma delegação. Sem exceções. Saber mais.
Visite tokencore.com.