julho 01, 2026

[Segurança] Vamos relembrar a BSidesSP 2026

Bateu saudades da edição histórica da Conferência Security BSides São Paulo (BSidesSP), que aconteceu nos dias 16 e 17 de maio? Recentemente publicamos o vídeo-resumo do evento, que conta um pouco como foi viver essa experiência, de juntar mais de 3.400 pessoas num final de semana!


A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP surgiu em 2011 e faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países. "Da comunidade para a comunidade".

A BSidesSP 2026 aconteceu nos dias 16 e 17 de Maio de 2026, no final de semana antes da You Shot the Sheriff (YSTS), e celebramos 15 anos desde nossa primeira edição, realizada dentro do Garoa Hacker Clube. No sábado tivemos mini-treinamentos, a competição do CTF e competição do Masters of Pwnage. No domingo ocorreu o evento completo, com palestras, 22 Villages e lojinhas bem legais. A competição de Capture The Flag (CTF) foi realizada no sábado 16/05 graças ao apoio e organização da comunidade Hack in Cariri. A realização do evento conta com a produção sensacional da Hekate. Nesse ano contamos com o apoio da nossa comunidade através de uma vaquinha.

A BSidesSP 2026 conta com o patrocínio das empresas AWS & DAREDE à Nuvem, Hacker Rangers, Logical It, Azion, Clavis, CYLO, Eskive, Forcepoint, Hekate , LUMU, STRATASEC e da TrendAI, além da Beephish, BugHunt, CECyber, Cyber Horizon, CyberVision, Fortra, GoHacking, Hakai, Leonnes, Open Cybersecurity, PurpleBird, Scythe, Shield Security, Snyk, Tenable, Thallium, Vantico WB Educação e Zenx. O CTF conta com o patrocínio da Azion, Malware Patrol, TrendAI e Vantico. O bar do evento foi um oferecimento da Snyk.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais, no nosso grupo no Telegram e no nosso site.

#bsidessp #hacktheplanetagain #bsidessp15anos

Veja também, aqui no blog:

junho 29, 2026

[Segurança] O Brasil na International Cybersecurity Olympiads (ICO)

 

A competição dura 6 dias e acontece durante essa semana, de 27 de junho até 2 de julho.


O time brasileiro é organizado pela empresa Olimpíadas Internacionais (@olimpiadasinternacionais) e é formado por 3 estudantes: o Felipe Cruz, o Lucas Vieira e a Valentina.


E a nossa delegação vai contar com o apoio de algumas empresas que estão patrocinando a viagem do time! Uma atitude bem legal que merece os nossos parabéns!

 

Um dos competidores, o Felipe, tem 15 anos e estuda cibersegurança há algum tempo, e pratica CTF nas plataformas CTFtime e Hack The Box. Ele fez uma vaquinha para ajudar a cobrir os gastos dele e da família na viagem.

A Olimpíada Internacional de Cibersegurança (ICO) é a competição de cibersegurança mais prestigiada do mundo para estudantes do ensino secundário. A ICO foi fundada em 2025 em Singapura, com a visão de criar uma plataforma internacional onde estudantes talentosos possam competir em desafios avançados de cibersegurança, aprendendo uns com os outros e com os principais especialistas da área. A próxima edição (2027) está prevista para acontecer na Itália.

Neste ano, as delegações de 22 países vão se encontrar na Tunísia, na Medina de Yasmine Hammamet, para um programa internacional de seis dias que inclui dois dias oficiais de competição com 7 horas de duração cada, além de cerimônias, atividades de colaboração e culturais.

junho 15, 2026

[Segurança] Dia Internacional de Prevenção ao Cibercrime

Hoje, 15 de junho, é considerado o Dia Internacional de Prevenção ao Cibercrime (International Cyber Offender Prevention Day).

A iniciativa foi criada em 2023 pela InterCOP (International Cyber Offender Prevention), uma rede policial global focada em prevenir crimes digitais. A iniciativa reúne autoridades de 38 países, incluindo o Brasil, e é apoiada pela Europol.

Por meio da rede InterCOP, os países atuam de forma integrada no enfrentamento às ameaças digitais, fortalecendo a cooperação internacional. Adotar boas práticas de segurança digital é uma responsabilidade compartilhada. A informação e a prevenção são ferramentas essenciais para uma internet mais segura para todos.

Dentre as iniciativas do grupo, o Reino Unido criou o site Cyber ​​Choices, que oferece materiais educativos sobre a legalidade do comportamento online e habilidades técnicas.


junho 12, 2026

[Carreira] Curso gratuito de cibersegurança do Laboratório da Febraban

O Laboratório de Segurança Cibernética da Febraban abriu as inscrições para a nova turma para o Cyber Academy, o projeto de capacitação em segurança cibernética que terá 10 mil vagas. As inscrições foram abertas dia 08 de junho e vão até 30 de junho - elas podem ser feitas neste link.

Os participantes devem ter conhecimento básico de computação, noções de redes de computadores e sistemas operacionais. No entanto, segundo o site do curso, o principal pré-requisito é a motivação e interesse em aprender sobre cibersegurança.

O programa terá 40 horas, será 100% online As aulas ocorrerão entre 06 e 31 de julho e o participante terá certificado ao final do curso, caso atenda aos critérios mínimos da avaliação. O curso, que chegou em sua sexta edição, terá 15 módulos com interações ao vivo via Microsoft Teams e também aulas gravadas em módulos EAD (educação à distância).

Veja a programação do curso:
  1. A importância da Segurança da Informação (Abertura) – 06/07 – Ao vivo
  2. Pilares de Segurança da Informação – 07/07 – Ao vivo
  3. Redes de computadores e segurança cibernética– 08/07 – Gravado
  4. Conscientização e boas práticas – 09/07 – Gravado
  5. Leis, regulamentações e normas – 10/07 – Gravado
  6. Fraudes e Crimes Cibernéticos – 13/07 – Ao vivo
  7. Ataques e Ameaças Cibernéticos – 14/07 – Gravado
  8. Segurança Cibernética Ofensiva – 15/07 – Gravado
  9. Segurança Cibernética Defensiva – 16/07 – Gravado
  10. Inteligência Artificial e Segurança Cibernética – 17/07 – Ao vivo
  11. Nuvem e Segurança Cibernética – 20/07 – Ao vivo
  12. Desenvolvimento Seguro (DevSecOps) – 21/07 - Gravado
  13. Geopolítica e Segurança Cibernética – 22/07 - Gravado
  14. Governança, Risco e Conformidade (GRC) – 23/07 - Gravado
  15. Carreiras e oportunidades em Segurança da Informação – 24/07 – Ao vivo
  16. Exercício Prático - Capture The Flag (CTF) – 27 a 31/07 – Atividade na Plataforma
O retorno das inscrições será encaminhado via e-mail no dia 30 de junho, após curadoria das pré-inscrições.

Para saber mais:

junho 11, 2026

[Segurança] Relatórios sobre o cenário de cibersegurança na América Latina

Recentemente eu fiz um levantamento sobre o cenário de cibersegurança na região da América Latina e achei alguns materiais legais:

Em 03/06/2026 a Apura apresentou um webinar sobre o Panorama de Amenazas Cibernéticas en Brasil y América Latina:



Outros materiais interessantes:
Veja também:

maio 31, 2026

Posts que nunca foram escritos

Periodicamente eu faço uma pequena limpeza nos meus rascunhos aqui no blog. E eu achei umas coisas antigas que estavam esquecidas aqui nos meus rascunhos :(

Normalmente, eu demoro alguns dias escrevendo os posts, que ficam como rascunho. Ou, tenho uma idéia sobre algum assunto que possa ser legal compartilhar aqui no blog, e começo ele como um rascunho. Eu tenho algumas dezenas de posts que ainda são rascunhos, inclusive alguns bem longos, que vou escrevendo aos poucos. Mas nem sempre esses rascunhos tem a oportunidade de ser publicados.

Como saber se foi invadido?
  • A good article on top IOCs was recently published on Dark Reading, comprised of 15 solid indicators of malicious activity and/or data breaches in enterprise environments.  Top 15 Indicators Of Compromise

Papo sobre senhas:
  • Quais são os principais erros das pessoas na hora de criar senhas?
    • Antes de mais nada, acho importante destacar que as senhas são a principal proteção de segurança para nosso acesso em todos os serviços online e aplicativos. E estão presentes até na hora que você passa o seu cartão de crédito no posto de gasolina. Infelizmente, em muitas ocasiões elas são nossa única proteção, então, de posse da nossa senha, um fraudador consegue acessar coisas importantes em nosso nome (como nossas redes sociais, aplicativos, etc). Aqui na Apura, nós identificamos 72 milhões de senhas vazadas de brasileiros somente em 2022, uma média de 6 milhões de credenciais por mês. Agora, em 2023, este número já subiu para mas de 10 milhões de senhas vazadas por mês. Somente em Abril deste ano, identificamos o vazamento de 10.260.915 credenciais. Isso inclui todo tipo de senha, incluindo informações de login em sites e aplicativos de celular, acesso a redes sociais e e-mails (pessoais e corporativos), e até mesmo credenciais de acesso a diversos sistemas corporativos, de empresas brasileiras. O que reparamos, na prática, é que as pessoas cometem 3 erros principais ao escolher as suas senhas: usam senhas simples, fáceis de serem adivinhadas, usam uma mesma senha para vários sites ou serviços e compartilham ela sem cuidado. Essas erros facilitam muito a ação dos ciber criminosos. Por exemplo, hoje em dia quando um ladrão rouba o seu celular, seu principal objetivo não é revender seu aparelho, mas sim acessar seus apps bancários. Para isso, a primeira coisa que ele vai fazer é buscar pela palavra senha no seu histórico de mensagens no Whatsapp, e provavelmente vai encontras algumas senhas. Ele vai testar essas senhas nos seus apps bancários, e se não der certo, vai testar combinações triviais e muito usadas, como 123456, abc123, data de nascimento, etc. Seria como se alguém roubasse sua carteira com todos os seus cartões de crédito, todos eles como a mesma senha numérica e, num deles, você anotou a senha no verso. Dá para imaginar o tamanho do estrago que pode acontecer?
  • Em geral, como os criminosos conseguem ter acesso a elas?
    • Os vazamentos de senhas acontecem, principalmente, graças a vírus especializados no roubo de senha em seus computadores e celulares (chamamos eles, tecnicamente, de "stealers") e ao vazamento de dados de empresas. Nesse último caso, está cada vez mais comum descobrirmos bases de dados expostas na Internet, em servidores em nuvem, com dados cadastrais de clientes. Ou o hacker simplesmente invade os sistemas da empresa e rouba essa base de dados. No caso dos malwares do tipo "steller", eles são plantados em nossos computadores e celulares (normalmente depois que o usuário clica em alguma mensagem falsa, de "phishing", e baixa o arquivo malicioso para seu aparelho) e monitoram todo o nosso uso de aplicativos e acesso a sites. Toda vez que acessamos uma tela de login, o "steller" copia as informações de nome de usuário e senha e envia para um computador central, controlado pelo criminoso. No final do dia, esse criminoso tem uma base de dados gigante com todas as nossas senhas usadas no dia-a-dia.
  • Pensando no ponto de vista do usuário final, a forma mais comum de ter suas senhas roubadas é quando anotamos ou compartilhamos elas, como quando você passa sua senha para um familiar por WhatsApp, ou naquele bloquinho de notas no seu celular aonde você anota suas senhas. Nesses casos, se o criminoso tiver acesso ao seu aparelho, ele descobre todas as suas senhas.
  • Quais práticas contribuem com a ação dos cibercriminosos? O que podemos deixar de fazer para dificultar a ação deles?
    • Além da falta de cuidado com as senhas, como dito na 1a pergunta, outro descuido muito comum que facilita as ações dos hackers é que muitas vítimas acabam acreditando em mensagens falsas, chamadas "phishing" (do inglês;ês "pescaria", pois o criminoso está pescando senhas na Internet), que os direcionam para sites com vírus ou sites falsos, imitando sites conhecidos. Os vírus podem roubar nossas senhas, e ao acessar um site falso, a vítima pode digitar sua senha, pensando que está no site do banco ou do seu e-commerce preferido. Os principais cuidados que devemos ter incluem o uso de senhas fortes (que sejam difíceis de serem adivinhadas), ativar o segundo fator de autenticação sempre que esse recurso existir, usar senhas únicas e, ao invés de anotar suas senhas em um bloquinho de notas, utilize um desses softwares especializados para guarda de senhas, pois eles usam criptografia para salvar nossas senhas.
      Pense na sua senha como se fosse sua escova de dentes: você não a compartilha com ninguém, troca periodicamente e não deixa jogada em qualquer lugar.
      No segmento corporativo, é importante monitorar os vazamentos de senhas e agir proativamente, bloqueando o acesso de um usuário que teve sua senha exposta. Para isso, existem ferramentas de Cyber Threat Intelligence, que monitoram os fóruns criminosos em busca desses vazamentos.
  • E o que podemos fazer? Como criar senhas fortes e, por exemplo, onde anotá-las e guardá-las em segurança?
    • A principal proteção que podemos usar é o chamado "segundo fator de autenticação", quando o site ou aplicativo usa uma segunda senha para liberar o nosso acesso, e essa senha é gerada por um aplicativo especializado ou encaminhada para você por e-mail ou SMS. Assim, mesmo quando o criminoso consegue descobrir a sua senha, ele não vai conseguir o acesso pois não terá essa segunda senha. Além disso, como todos nós temos que decorar centenas de senhas, o ideal é usar uma ferramenta especializada para guardar essas senhas de forma segura, que chamamos de "gerenciadores de senha". Há ótimas ferramentas gratuitas no mercado.
  • Para garantir uma senha forte, "blindada contra cibercriminosos", a minha sugestão mais prática é que você pegue a sua senha favorita, aquela que você já está acostumado, e troque alguma letra maiúscula por minúscula, inclua no meio dela alguns números e dois ou três caracteres especiais (como o ponto, hífen ou vírgula, por exemplo). Assim, você consegue criar uma senha muito mais difícil de ser descoberta, mas não perde tanto a facilidade de lembrá-la.
  • Para refletir: essa tendência de mais invasões aos nossos sistemas através de exploraçào de senhas já era esperada diante da digitalização do país? Ou se deve mesmo à falta de atenção e cuidado dos usuários?
    • Sim, o crime cibernético acompanha a evolução das tecnologias e se adapta rapidamente. A digitalização do nosso país, que já era uma tendência natural, foi muito acelerada no período da pandemia, quando muitas pessoas foram obrigadas a usar serviços online pela primeira vez de forma rotineira. Em muitos casos, eram pessoas que não estavam acostumadas com as malícias do mundo digitaram que acreditavam em qualquer mensagem que recebessem e clicavam em qualquer link indiscriminadamente. E o crime acompanhou essa tendência, com um crescimento significativo nesse período para, justamente, tentar pegar esses novos usuários. A própria Febraban noticiou um aumento de 80% nos golpes de phishing durante a pandemia. Por isso mesmo, é muito importante sempre fazermos ações para educar e conscientizar o cidadão comum sobre os riscos online. Navegar na Internet é como andar numa rua no centro de São Paulo: você pode sair duma loja, dobrar uma esquina e cair numa rua perigosa, com risco de ser assaltado.
Sobre o mercado de vulnerabilidades e bug bounty (informações de 2017):
Segue uma pequena coletânea de notícias de 2018 e 2019 que exemplificam o grau de sofisticação e diversidade do ciber crime brasileiro, aonde qualquer empresa de qualquer setor pode ser uma vítima:

maio 27, 2026

[Segurança] Cuidado com os golpes com tema do Imposto de Renda

Não tem jeito, nessa época da declaração do Imposto de Renda, chovem tentativas de golpes através de phishings e mensagens falsas imitando supostas notificações da Receita Federal.

Eu recebi uma interessante em meu inbox, que achei legal compartilhar aqui no Blog.

A mensagem parecia ser um alerta de pagamento da guia do Imposto de Renda PJ, com um link fazendo se passar como uma DARF para o pagamento.

O endereço de origem parecia ser o "Departamento Contábil", mas na verdade era algo bem mais estranho:


O link para a suposta DARF era um link encurtado, uma tática super manjada para esconder o endereço real do usuário final e burlar sistemas de segurança: https[:]//da.gd/ro1k2.

Colocando o + no final do link, é possível ver o endereço real do phishing: https[:]//docusignreviw-823582369662.northamerica-northeast2.run.app/r/cadastro

Pelo link do da.gd também é possível ver as estatísticas de acesso ao link encurtado (usando https://da.gd/stats/<encurtador>), o que mostra que a campanha é bem recente e cerca de 100 pessoas haviam acessarado esse link até 25 de maio:


Tem cara de phishing, cheiro de phishing, e-mail de phishing, mas não custa consultar o VirusTotal, e surpreendentemente, na época que eu consultei apenas 2 antivírus pegaram o bichinho (no link encurtado e no real):



Ou seja, nem sempre a sua ferramenta de segurança e o seu antivírus vão identificar uma campanha recente, como um site de phishing distribuindo um malware. Por isso, toda atenção é pouco, e sempre vale a regra de nunca clicar em links suspeitos.

Veja as dicas da própria Receita Federal:
  • Desconfie de mensagens com tom de urgência ou ameaça de bloqueio de serviços financeiros.
  • Não clique em links recebidos por SMS ou aplicativos de mensagens que não sejam de fontes oficiais.
  • Verifique sempre o endereço eletrônico antes de acessar qualquer página relacionada a serviços públicos.
  • Nunca forneça dados pessoais, bancários ou fiscais em sites não verificados.
  • Em caso de dúvida, o cidadão deve buscar atendimento diretamente nos canais oficiais da Receita Federal.

maio 25, 2026

[Segurança] 3.431 motivos para nos orgulhar da Security BSides São Paulo!

Nesse último final de semana, dias 16 e 17 de maio, realizamos uma edição histórica da Conferência Security BSides São Paulo (BSidesSP). Além de ser uma edição para comemorarmos os 15 anos de existência do evento, batemos todos os recordes de participação do público!

Sim, nessa edição tivemos...


3.431 pessoas presentes



... nos dois dias da BSidesSP. Ao todo, foram 6.435 inscritos. Ou seja, 54% dos inscritos foram na BSidesSP, uma porcentagem excelente! Isso sem contar uma meia dúzia de pessoas que foram no evento e conseguiram entrar mesmo sem se inscrever ou sem fazer o check-in.

Quem diz isso é o próprio Sympla, com as estatísticas de check-in:



Vejam mais alguns dados sobre os inscritos e total de participantes na BSidesSP 2026:
  • Total de inscritos (ingressos confirmados) (*): 6.312
  • Total de pessoas presentes (*): 3.431 (54%)
  • Inscritos nos treinamentos (16/05): 503
  • Presentes nos treinamentos (16/05): 311
  • Presentes no domingo (17/05): 3.120
(*) Somatória dos 2 dias (sábado e domingo)


A Conferência Security BSides São Paulo (BSidesSP) é uma conferência sobre segurança da informação e cultura hacker, organizada por profissionais que trabalham na área, com o objetivo de promover a inovação, discussão e a troca de conhecimento entre os pesquisadores de segurança, profissionais e estudantes. além de divulgar os valores positivos e inovadores da cultura hacker. A BSidesSP surgiu em 2011 e faz parte do circuito global de conferências Security BSides, presentes em mais de 60 países. "Da comunidade para a comunidade".

A BSidesSP 2026 aconteceu nos dias 16 e 17 de Maio de 2026, no final de semana antes da You Shot the Sheriff (YSTS), e celebramos 15 anos desde nossa primeira edição, realizada dentro do Garoa Hacker Clube. No sábado tivemos mini-treinamentos, a competição do CTF e competição do Masters of Pwnage. No domingo ocorreu o evento completo, com palestras, 22 Villages e lojinhas bem legais. A competição de Capture The Flag (CTF) foi realizada no sábado 16/05 graças ao apoio e organização da comunidade Hack in Cariri. A realização do evento conta com a produção sensacional da Hekate. Nesse ano contamos com o apoio da nossa comunidade através de uma vaquinha.

A BSidesSP 2026 conta com o patrocínio das empresas AWS & DAREDE à Nuvem, Hacker Rangers, Logical It, Azion, Clavis, CYLO, Eskive, Forcepoint, Hekate , LUMU, STRATASEC e da TrendAI, além da Beephish, BugHunt, CECyber, Cyber Horizon, CyberVision, Fortra, GoHacking, Hakai, Leonnes, Open Cybersecurity, PurpleBird, Scythe, Shield Security, Snyk, Tenable, Thallium, Vantico WB Educação e Zenx. O CTF conta com o patrocínio da Azion, Malware Patrol, TrendAI e Vantico. O bar do evento é um oferecimento da Snyk.

Obrigado às empresas que acreditam e apoiam a nossa comunidade!!!

Quer conferir estas e outras novidades? Fique de olho nas nossas redes sociais, no nosso grupo no Telegram e no nosso site.

#bsidessp #hacktheplanetagain #bsidessp15anos

Veja também, aqui no blog:

maio 22, 2026

[Segurança] A 307 Conference já tem data para acontecer!

Sim, enquanto até hoje ninguém sabe se a H2HC 2026 foi cancelada, o pessoal da 307 Temporary Security Conference (307c) não dá bobeira! O evento já tem data para acontecer, anota aí na sua agenda:


05 e 06 de Dezembro de 2026



E vamos acontecer independente de ter a H2HC ou não!

Já estamos em negociação com o possível local do evento e, em breve, teremos muitas novidades!


Nesse ano vamos começar os preparativos antes, para não termos a mesma correria e nem sofrer com as indecisões, como ocorreu no ano passado.

Já reserva a sua agenda!

maio 21, 2026

[Segurança] Vai ter H2HC em 2026?

Ontem tivemos uma /bin/live incrível sobre as competições de Capture The Flag (CTF), e em vários momentos surgiram as perguntas "Vai ter H2HC em 2026?" e "A H2HC já tem data?".

E a resposta é....


Ninguém sabe!  :(



Essas perguntas e a crise de ansiedade instaurada em toda nossa comunidade de segurança se justificam porque, no ano passado, a organização da H2HC havia prometido que o evento ocorreria no primeiro semestre desse ano. Estamos em meados de maio e, até agora, nenhuma data foi divulgada :(

Essa dúvida já virou cartinha da Masters of Pwnage:


Spoiler: a galera da 307 Conference já está se movimentando!

Quando tivermos novidades, eu atualizo esse post e a página A H2HC foi cancelada?

Veja também:
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.