â Voltar para MANO RAGE SHOW
EpisĂłdio
đ„ Mano Rage Show #250: iFood na mira dos hackers, calote em Bug Bounty e NPM contaminado de novo
2 de junho de 20261:38:30
Descrição
đ§ TL;DR * đŻ iFood recebeu ameaça de extorsĂŁo com 43,8 milhĂ”es de registros. Prazo atĂ© dia 10 de junho. A empresa nega vazamento, mas 84% do chat apostou que os dados sĂŁo reais * đž Dev reportou falhas crĂticas em Bug Bounty, deveria receber R$ 4.000 e levou R$ 1.000 + pontuação. Empresas usando Bug Bounty pra dar calote em galera de cyber * đ Pacotes oficiais do Red Hat Cloud Service contaminados via NPM (campanha Miasma). Worm autopropagĂĄvel roubando credenciais, chaves SSH e segredos de CI/CD * đ Credenciais do governo do RJ expostas em env.ts pĂșblico no site da Controladoria Geral do Estado. GovRJ, Proderge, Serpro, tudo acessĂvel * đ Layoffs na Magalu (10-15% dos devs) e BoticĂĄrio no primeiro dia Ăștil de junho. A planilha de Q2 chegou ANTES DE COMEĂAR, me ajude a ser o maior âINFLUENCER DE TECNOLOGIAâ de 2026 kkkkk Vote aqui: https://premioibest.vote/483718727 đš iFood: 43,8 milhĂ”es de registros e um prazo atĂ© dia 10 Hacker usando o pseudĂŽnimo âBassenâ anunciou o suposto vazamento de 43,8 milhĂ”es de dados do iFood. Nomes completos, CPFs, e-mails, cartĂŁo de crĂ©dito. ExtorsĂŁo pura: se nĂŁo pagar atĂ© dia 10 de junho, os dados seriam liberados em etapas. O iFood nega. Falou pro Tecmundo (reportagem do Adriano Camacho) que nĂŁo encontrou evidĂȘncias de comprometimento. O Tecmundo segue apurando. O dilema: pra bater o pĂ© e falar ânĂŁo vazou nadaâ, vocĂȘ tem que confiar muito no seu time de segurança. Imagina o Diego Barreto chegando no time de sec e perguntando âvazou?â trĂȘs vezes seguidas. O cara dĂĄ um tail -f no log e fala ânĂŁo, patrĂŁo.â Se eu fosse o cara de dados, eu jĂĄ estaria suando frio. Enquete no chat: 84% apostou que vazou de verdade. Eu fiquei do lado do iFood. Dia 11 (quinta, live) a gente confere o bolĂŁo. Contexto: o iFood jĂĄ passou pelo caso de espionagem industrial com a Keeta (delivery chinesa da Meituan). Diego Barreto resolveu, mandou embora, delegacia, processo. Agora vem essa. Fase complicada. đ€ Patrocinador: ContaDev Se vocĂȘ Ă© dev PJ (gringa ou Brasil) e tĂĄ desesperado com imposto de renda, nota fiscal e declaração, a ContaDev Ă© contabilidade que entende a nossa ĂĄrea. Mais de 50% de imposto economizado. Assessoria que pega na sua mĂŁozinha pra vocĂȘ nĂŁo fazer merda. Procura eles e volta aqui pra me agradecer. đ° Calote em Bug Bounty: achou SQL Injection e recebeu pontuação DenĂșncia anĂŽnima na live. Dev participando de Bug Bounty de uma rede grande reportou vĂĄrias falhas crĂticas, incluindo SQL Injection. Deveria receber R$ 4.000. Resposta da empresa: âa API Ă© de terceiro, fora do escopo.â SĂł que essa API era consumida direto pelo front-end. Sem BFF, sem gateway. Dava pra coletar dados de todos os funcionĂĄrios e clientes. âTerceiroâ com dados internos. Depois de envolver o CEO do programa, conseguiu R$ 1.000. Outras falhas? SĂł pontuação. Sem grana. O recado: tem empresa usando Bug Bounty pra dar calote. Se for pra dar calote em alguĂ©m, nĂŁo dĂȘ calote em quem sabe invadir seus sistemas. đ NPM contaminado (de novo): Red Hat Cloud Service comprometido Saiu no The Hacker News. Campanha âMiasmaâ, variante do Mini Shai-Hulud, comprometeu pacotes oficiais do Red Hat Cloud Service. Worm autopropagĂĄvel. Pacotes contaminados: Vulnerabilities Client, TSC Transform Import, Topological Inventory Client, Census Client, Rules Component, Remediation Client, RBAC Client. Confere seu projeto. Hook de prĂ©-instalação ofuscado coletando credenciais de nuvem, chaves SSH, ambiente de CI/CD. O grupo Team PCP liberou as ferramentas em cĂłdigo aberto, facilitando novos ataques. O grande rollback vai dar valor a quem programa sem lib externa. Golang nasceu com essa filosofia. As linguagens mais seguras vĂŁo ser as que nĂŁo dependem de pacote de terceiro. NPM Ă© o mais popular e o que mais vaza. ThinStack provou. Composer do Laravel tambĂ©m foi (Laravel Lang envenenado). DifĂcil ser programador JavaScript em 2026. đ Credenciais expostas na Controladoria do Estado do RJ O Iago (Upyago), moderador da Ilha da Macacada, achou mais uma. Credenciais expostas no site da Controladoria Geral do Estado do RJ. env.ts pĂșblico com todos os credenciais. axios.ts com credenciais dentro do Axios. N consultas a banco de dados do governo. Dados da Controladoria, GovRJ, Proderge, Serpro. Tudo exposto. Dockerfile pĂșblico. App Vite com modo dev e debug em produção. Aparentemente um aluno da Rocketseat. JĂĄ corrigiram, chaves revogadas. Frase do chat: âA Controladoria fiscaliza o estado e esqueceu de fiscalizar o prĂłprio deploy. Novo portal de transparĂȘncia.â đ Layoffs: Magalu e BoticĂĄrio Junho mal começou e jĂĄ tem passaralho. Magalu demitiu pelo menos 10-15% dos devs. Um inscrito contou ao vivo: tribo de 45 pessoas, 8 demitidas, 3 do time dele. Daily cancelada, meet marcado, demissĂŁo. âReorganização.â BoticĂĄrio tambĂ©m. Layoff grande. Metade Q2 Ă© quando a planilha Ă© formada. Força pra quem ficou. đŻ Outros Destaques da Live đź Banido do alarme do celular đ€ Print fake (IA) genial: cara âbanido permanentementeâ do app de alarme. Violou os termos de uso do despertador. 5h e 5h30 pra sempre. Vende o celular, a maldição vai junto. Black Mirror vibes. O chat desdobrou: banido do calendĂĄrio, da lanterna (iluminou conteĂșdo +18). Puro chorume. đš GorgonĂłide faz thumbs no Corel Draw đ„ïž GorgonĂłide, da bolha maromba, declarou no X que faz thumbnails no Corel Draw. Mostrou o arquivo. E ficam boas. Grande rollback na bolha fitness. âQuem nĂŁo usa Corel Draw, usa IA, usa Canva, tem testo baixa e pai ausente.â đș Tela Brasil usando CDN da Amazon đ§đ· Ayub levantou que a Tela Brasil (âNetflix estatalâ) usa CDN da Amazon. Cada exibição de um longa de 5,4 GB custaria US$ 46. Sem licitação pĂșblica encontrada. Existem alternativas BR (Gocache, CDN Star). Proposta de valor Ă© ser 100% brasileiro e vacilaram. AlĂŽ, Magalu Cloud? đ Ranking SmartCast e PrĂȘmio Best Primeiro lugar no ranking de programação do SmartCast nos Ășltimos 7 dias. Concorrendo ao PrĂȘmio Best como influenciador de tecnologia. Vota em mim, na moral. đ± Convite do Joey Ponzi Joey Ponzi me chamou ao vivo pro Encaixapaz. Blablacar pro Rio, sinuca no Bar da Marlene, Tijuca. Quinta-feira, duas da tarde. đ Me marca quando achar treta Se vocĂȘ viu algo Ă©pico rolando em qualquer rede essa semana, manda no grupo ou me marca que eu adiciono na prĂłxima curadoria. Quanto mais bizarro, melhor. * LinkedIn: linkedin.com/company/chorume * X/Twitter: @manodeyvin * Instagram: @manodeyvin * Substack: manodeyvin.com.br Get full access to @manodeyvin at manodeyvin.com.br/subscribe