🧃 TL;DR
🎯 iFood recebeu ameaça de extorsão com 43,8 milhões de registros. Prazo até dia 10 de junho. A empresa nega vazamento, mas 84% do chat apostou que os dados são reais
💸 Dev reportou falhas críticas em Bug Bounty, deveria receber R$ 4.000 e levou R$ 1.000 + pontuação. Empresas usando Bug Bounty pra dar calote em galera de cyber
🐛 Pacotes oficiais do Red Hat Cloud Service contaminados via NPM (campanha Miasma). Worm autopropagável roubando credenciais, chaves SSH e segredos de CI/CD
🔓 Credenciais do governo do RJ expostas em
env.tspúblico no site da Controladoria Geral do Estado. GovRJ, Proderge, Serpro, tudo acessível📉 Layoffs na Magalu (10-15% dos devs) e Boticário no primeiro dia útil de junho. A planilha de Q2 chegou
ANTES DE COMEÇAR, me ajude a ser o maior “INFLUENCER DE TECNOLOGIA” de 2026 kkkkk
Vote aqui: https://premioibest.vote/483718727
🚨 iFood: 43,8 milhões de registros e um prazo até dia 10
Hacker usando o pseudônimo “Bassen” anunciou o suposto vazamento de 43,8 milhões de dados do iFood. Nomes completos, CPFs, e-mails, cartão de crédito. Extorsão pura: se não pagar até dia 10 de junho, os dados seriam liberados em etapas.
O iFood nega. Falou pro Tecmundo (reportagem do Adriano Camacho) que não encontrou evidências de comprometimento. O Tecmundo segue apurando.
O dilema: pra bater o pé e falar “não vazou nada”, você tem que confiar muito no seu time de segurança. Imagina o Diego Barreto chegando no time de sec e perguntando “vazou?” três vezes seguidas. O cara dá um tail -f no log e fala “não, patrão.” Se eu fosse o cara de dados, eu já estaria suando frio.
Enquete no chat: 84% apostou que vazou de verdade. Eu fiquei do lado do iFood. Dia 11 (quinta, live) a gente confere o bolão.
Contexto: o iFood já passou pelo caso de espionagem industrial com a Keeta (delivery chinesa da Meituan). Diego Barreto resolveu, mandou embora, delegacia, processo. Agora vem essa. Fase complicada.
🤝 Patrocinador: ContaDev
Se você é dev PJ (gringa ou Brasil) e tá desesperado com imposto de renda, nota fiscal e declaração, a ContaDev é contabilidade que entende a nossa área. Mais de 50% de imposto economizado. Assessoria que pega na sua mãozinha pra você não fazer merda. Procura eles e volta aqui pra me agradecer.
💰 Calote em Bug Bounty: achou SQL Injection e recebeu pontuação
Denúncia anônima na live. Dev participando de Bug Bounty de uma rede grande reportou várias falhas críticas, incluindo SQL Injection. Deveria receber R$ 4.000.
Resposta da empresa: “a API é de terceiro, fora do escopo.”
Só que essa API era consumida direto pelo front-end. Sem BFF, sem gateway. Dava pra coletar dados de todos os funcionários e clientes. “Terceiro” com dados internos.
Depois de envolver o CEO do programa, conseguiu R$ 1.000. Outras falhas? Só pontuação. Sem grana.
O recado: tem empresa usando Bug Bounty pra dar calote. Se for pra dar calote em alguém, não dê calote em quem sabe invadir seus sistemas.
🐛 NPM contaminado (de novo): Red Hat Cloud Service comprometido
Saiu no The Hacker News. Campanha “Miasma”, variante do Mini Shai-Hulud, comprometeu pacotes oficiais do Red Hat Cloud Service. Worm autopropagável.
Pacotes contaminados: Vulnerabilities Client, TSC Transform Import, Topological Inventory Client, Census Client, Rules Component, Remediation Client, RBAC Client. Confere seu projeto.
Hook de pré-instalação ofuscado coletando credenciais de nuvem, chaves SSH, ambiente de CI/CD. O grupo Team PCP liberou as ferramentas em código aberto, facilitando novos ataques.
O grande rollback vai dar valor a quem programa sem lib externa. Golang nasceu com essa filosofia. As linguagens mais seguras vão ser as que não dependem de pacote de terceiro.
NPM é o mais popular e o que mais vaza. ThinStack provou. Composer do Laravel também foi (Laravel Lang envenenado). Difícil ser programador JavaScript em 2026.
🔓 Credenciais expostas na Controladoria do Estado do RJ
O Iago (Upyago), moderador da Ilha da Macacada, achou mais uma. Credenciais expostas no site da Controladoria Geral do Estado do RJ.
env.ts público com todos os credenciais. axios.ts com credenciais dentro do Axios. N consultas a banco de dados do governo. Dados da Controladoria, GovRJ, Proderge, Serpro. Tudo exposto. Dockerfile público.
App Vite com modo dev e debug em produção. Aparentemente um aluno da Rocketseat. Já corrigiram, chaves revogadas.
Frase do chat: “A Controladoria fiscaliza o estado e esqueceu de fiscalizar o próprio deploy. Novo portal de transparência.”
📉 Layoffs: Magalu e Boticário
Junho mal começou e já tem passaralho. Magalu demitiu pelo menos 10-15% dos devs. Um inscrito contou ao vivo: tribo de 45 pessoas, 8 demitidas, 3 do time dele. Daily cancelada, meet marcado, demissão. “Reorganização.”
Boticário também. Layoff grande.
Metade Q2 é quando a planilha é formada. Força pra quem ficou.
🎯 Outros Destaques da Live
🎮 Banido do alarme do celular 🤖
Print fake (IA) genial: cara “banido permanentemente” do app de alarme. Violou os termos de uso do despertador. 5h e 5h30 pra sempre. Vende o celular, a maldição vai junto. Black Mirror vibes. O chat desdobrou: banido do calendário, da lanterna (iluminou conteúdo +18). Puro chorume.
🎨 Gorgonóide faz thumbs no Corel Draw 🖥️
Gorgonóide, da bolha maromba, declarou no X que faz thumbnails no Corel Draw. Mostrou o arquivo. E ficam boas. Grande rollback na bolha fitness. “Quem não usa Corel Draw, usa IA, usa Canva, tem testo baixa e pai ausente.”
📺 Tela Brasil usando CDN da Amazon 🇧🇷
Ayub levantou que a Tela Brasil (”Netflix estatal”) usa CDN da Amazon. Cada exibição de um longa de 5,4 GB custaria US$ 46. Sem licitação pública encontrada. Existem alternativas BR (Gocache, CDN Star). Proposta de valor é ser 100% brasileiro e vacilaram. Alô, Magalu Cloud?
🏆 Ranking SmartCast e Prêmio Best
Primeiro lugar no ranking de programação do SmartCast nos últimos 7 dias. Concorrendo ao Prêmio Best como influenciador de tecnologia. Vota em mim, na moral.
🎱 Convite do Joey Ponzi
Joey Ponzi me chamou ao vivo pro Encaixapaz. Blablacar pro Rio, sinuca no Bar da Marlene, Tijuca. Quinta-feira, duas da tarde.
📍 Me marca quando achar treta
Se você viu algo épico rolando em qualquer rede essa semana, manda no grupo ou me marca que eu adiciono na próxima curadoria. Quanto mais bizarro, melhor.
LinkedIn: linkedin.com/company/chorume
X/Twitter: @manodeyvin
Instagram: @manodeyvin
Substack: manodeyvin.com.br
