O vazamento na **Figure** expôs 967.200 registros de e-mail sem um único exploit. Entender o que isso possibilita — e por que seu MFA não pode contê-lo — é um problema arquitetural, não um problema de educação do usuário. Em fevereiro de 2026, o TechRepublic relatou que a **Figure**, uma empresa de serviços financeiros, expôs quase 967.200 registros de e-mail em um vazamento de dados recém-divulgado. Nenhuma vulnerabilidade foi encadeada. Nenhum zero-day foi utilizado. Os registros estavam acessíveis e agora estão em mãos de adversários. A cobertura de vazamentos como este tende a parar na contagem. Esse é o lugar errado para parar. O número de registros expostos não é o evento — é o inventário inicial para o evento que se segue. Para entender o risco real, você precisa seguir a cadeia de ataque que uma exposição de credenciais como essa possibilita, passo a passo, e perguntar honestamente se os controles de autenticação em seu ambiente podem interrompê-la em qualquer ponto. A maioria não consegue. Eis o porquê. ## O que os Adversários Fazem com 967.000 Registros de E-mail Endereços de e-mail expostos não são dados estáticos. São entradas operacionais. Horas após um conjunto de registros como este se tornar disponível, os adversários o executam por meio de vários fluxos de trabalho paralelos simultaneamente. O primeiro é o credential stuffing. Clientes e funcionários da **Figure** quase certamente reutilizaram senhas em vários serviços. Adversários combinam os endereços expostos com bancos de dados de vazamentos de incidentes anteriores — **LinkedIn**, **Dropbox**, RockYou2024 — e testam os pares resultantes contra portais corporativos, gateways VPN, **Microsoft 365**, **Okta** e provedores de identidade em escala. A automação lida com o volume. As taxas de sucesso em campanhas de credential stuffing contra listas de e-mail recentes rotineiramente ficam entre dois e três por cento. Em 967.000 registros, isso representa de 19.000 a 29.000 pares de credenciais válidas. O segundo fluxo de trabalho é o phishing direcionado. Ferramentas assistidas por IA agora podem gerar campanhas de phishing personalizadas a partir de uma lista de e-mails em minutos. As mensagens referenciam a organização pelo nome, impersonam comunicações internas e são visualmente indistinguíveis da correspondência legítima. O direcionamento específico ao destinatário — usando cargo, departamento ou dados públicos do **LinkedIn** para adaptar o chamariz — é uma prática padrão, não uma capacidade reservada para atores estatais. O terceiro é a engenharia social via help desk. Armados com um endereço de e-mail válido e OSINT básico, os adversários impersonam funcionários em chamadas para equipes de suporte de TI, solicitando redefinições de senha, redefinições de dispositivos MFA ou desbloqueios de conta. Este vetor de ataque contorna completamente a tecnologia de autenticação — ele visa o processo humano que existe para lidar com falhas de autenticação. Em cada um desses fluxos de trabalho, nenhuma vulnerabilidade técnica é necessária. O objetivo do adversário não é invadir. É fazer login como um usuário válido. O vazamento não cria acesso. Ele cria as condições sob as quais o acesso se torna alcançável através do próprio sistema de autenticação. <div> <h2><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">Transforme Autenticação em Garantia</a></h2> <p>A plataforma Biometric Assured Identity da **Token** é construída para organizações onde a falha de autenticação não é um resultado aceitável.</p> <p>Veja como a **Token** pode fortalecer a garantia de identidade em sua pilha de IAM, SSO e PAM existente.</p> <p><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">Saiba Mais</a></p> </div> ## Por que o MFA Legado Não Pode Interromper Esta Cadeia Esta é a parte da análise que a maioria dos relatórios pós-incidente subestimam. As organizações leem sobre uma exposição de credenciais e concluem que sua implantação de MFA as protege. Para a cadeia de ataque descrita acima, essa conclusão é estruturalmente incorreta. Ferramentas modernas de adversários executam o que pesquisadores de segurança chamam de retransmissão de phishing em tempo real, às vezes referida como ataque de adversário no meio (AiTM). A mecânica é precisa. Um adversário constrói um proxy reverso que fica entre a vítima e o serviço legítimo. Quando a vítima insere as credenciais em uma página falsificada, o proxy encaminha essas credenciais para o site real em tempo real. O site real responde com um desafio MFA. O proxy encaminha esse desafio para a vítima. A vítima responde — porque a página parece legítima e o prompt MFA é real. O proxy encaminha a resposta. O adversário recebe uma sessão autenticada. MFA por notificação push, códigos SMS de uso único e aplicativos autenticadores TOTP são todos vulneráveis a essa retransmissão. Eles autenticam a troca de um código. Eles não verificam se o indivíduo que completa a troca é o titular da conta autorizado. Eles não conseguem distinguir uma sessão direta de uma sessão retransmitida. Kits de ferramentas que automatizam este ataque — Evilginx, Modlishka, Muraena e seus derivados — estão publicamente disponíveis, ativamente mantidos e não requerem nenhuma técnica avançada para operar. A capacidade não é exótica. É o básico. A fadiga de MFA agrava isso. Adversários que obtêm credenciais válidas, mas não conseguem retransmitir a sessão em tempo real, em vez disso, acionarão notificações push repetidas até que um usuário aprove uma por frustração ou confusão. Este ataque foi usado com sucesso contra organizações com programas de segurança maduros, inclusive em incidentes que receberam cobertura pública significativa. O fio condutor em todas essas técnicas: o MFA legado coloca um ser humano no ponto de decisão final da cadeia de autenticação, e então confia nesse ser humano para tomar a decisão correta sob condições especificamente projetadas para derrotá-lo. ## O Problema Estrutural que o MFA Legado Não Consegue Resolver A resposta padrão da indústria de segurança para falhas de autenticação é a educação do usuário. Treine as pessoas para reconhecer phishing. Ensine-as a verificar prompts MFA inesperados. Lembre-as de não aprovar solicitações que não iniciaram. Essa resposta não está errada. É insuficiente, e a insuficiência é arquitetural, não motivacional. Um ataque de retransmissão não requer que um usuário reconheça uma página de phishing. O prompt MFA que eles recebem é real, emitido pelo serviço legítimo, entregue através do mesmo aplicativo que eles usam todos os dias. Não há nada anômalo para o usuário detectar. O ataque é projetado para ser invisível para o humano no loop — e é. O problema mais profundo é que a arquitetura de autenticação que a maioria das organizações implantou não foi projetada para responder à pergunta que realmente importa em um ambiente pós-vazamento: o indivíduo autorizado estava fisicamente presente e biometricamente verificado no momento da autenticação? Notificações push não respondem a essa pergunta. Códigos SMS não respondem a essa pergunta. TOTP não responde a essa pergunta. Tokens de hardware USB respondem a uma pergunta relacionada, mas diferente — eles provam que o dispositivo registrado estava presente, não a pessoa autorizada. Auditores, reguladores e seguradoras cibernéticas estão cada vez mais traçando essa distinção explicitamente. A pergunta "você pode provar que o indivíduo autorizado estava lá?" está aparecendo em avaliações CMMC, exames NYDFS e questionários de subscritores. A presença do dispositivo não é mais aceita como um substituto para a presença humana em contextos de acesso de alto risco. ## O que a Autenticação Resistente a Phishing Realmente Exige **FIDO2**/WebAuthn é frequentemente citado nesta conversa, e é um passo significativo para frente — mas não é suficiente por si só. Implementações padrão de passkey vinculam a credencial a um dispositivo ou conta na nuvem. As passkeys sincronizadas na nuvem herdam as vulnerabilidades da conta na nuvem: ataques de troca de SIM contra o número de telefone de recuperação, tomada de conta via phishing de credenciais, exploração do fluxo de recuperação. As passkeys vinculadas ao dispositivo provam a posse do dispositivo. Elas não provam a presença humana. A autenticação resistente a phishing que fecha o vetor de ataque de retransmissão requer três propriedades simultaneamente: * **Vinculação criptográfica de origem:** a credencial de autenticação está matematicamente ligada ao domínio de origem exato. Um site falsificado não pode produzir uma assinatura válida porque o domínio não corresponde. O ataque falha antes que qualquer credencial seja transmitida. * **Chaves privadas vinculadas a hardware que nunca saem de hardware seguro:** a chave de assinatura não pode ser exportada, copiada ou exfiltrada. A violação do endpoint não compromete a credencial. * **Verificação biométrica ao vivo do indivíduo autorizado:** não um modelo biométrico armazenado que pode ser reproduzido, mas uma correspondência em tempo real que confirma que a pessoa autorizada está fisicamente presente no momento da autenticação. Quando todas as três propriedades estão presentes, um ataque de retransmissão não tem caminho viável. O adversário não pode produzir uma assinatura criptográfica válida de um site falsificado. Eles não podem retransmitir uma sessão porque a vinculação criptográfica falha no momento em que a origem muda. Eles não podem usar um dispositivo roubado porque a verificação biométrica falha sem o indivíduo autorizado. Eles não podem usar engenharia social para obter aprovação porque não há prompt de aprovação — a autenticação é concluída com uma correspondência biométrica ao vivo no hardware registrado, ou não é concluída. ## Token: Identidade Criptográfica que Verifica o Humano, Não o Dispositivo <a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=B