Hackers invadiram a Homeland Security Information Network (HSIN), a principal plataforma de compartilhamento de dados do Departamento de Segurança Interna dos EUA (DHS), entre maio e junho de 2026. O ataque atingiu servidores SharePoint durante a Copa do Mundo nos Estados Unidos. A CISA ordenou patch obrigatório do CVE-2026-45659 (CVSS 8.8) até 4 de julho, com mais de 10 mil servidores SharePoint expostos na internet. Desde 2021, 11 falhas do SharePoint foram exploradas na natureza — sete em ataques de ransomware.

Rede do DHS é invadida

O Departamento de Segurança Interna dos Estados Unidos (DHS) confirmou na terça-feira (1º de julho) que hackers invadiram a Homeland Security Information Network (HSIN), a plataforma sensível de compartilhamento de dados entre governo federal, estaduais, locais e setor privado. O ataque aconteceu entre o final de maio e o início de junho — exatamente quando os EUA sediam a Copa do Mundo, segundo informação do BleepingComputer.

O que é a HSIN

A HSIN não é um sistema qualquer. É a espinha dorsal de compartilhamento de informações sensíveis do DHS — usada por milhares de parceiros aprovados para trocar alertas em tempo real, coordenar respostas a incidentes, gerenciar operações de segurança e monitorar pessoas de interesse. O sistema permite comunicação entre agências federais, governos estaduais, departamentos de polícia e empresas do setor privado em um ambiente classificado como “sensível, porém não classificado”.

A invasão atingiu servidores da HSIN e um sistema SharePoint usado para colaboração. O DHS isolaou os sistemas afetados e abriu investigação forense, mas não revelou se dados foram roubados nem atribuiu o ataque a qualquer grupo específico. Em nota oficial ao BleepingComputer, o departamento enfatizou que redes classificadas não foram afetadas.

A coincidência com a Copa

O timing não é inocente. Os EUA sediam a Copa do Mundo de 2026 e a HSIN é parte da infraestrutura de coordenação de segurança para o evento. A plataforma troca informações sobre planejamento de segurança, coordenação interagências e procedimentos de resposta a incidentes durante os jogos. Se a invasão expôs planos operacionais de segurança do torneio, o risco transcende o ciberespaço.

Não é a primeira vez que a HSIN sofre incidentes. Em 2023, um erro de configuração de acesso atribuído a um contratante expôs dados restritos do HSIN-Intel — a seção de inteligência da plataforma — para todos os usuários do sistema. O erro definiu permissões como “todos” em vez de um grupo limitado, expondo dados sensíveis de cidadãos americanos e informações pessoalmente identificáveis.

SharePoint como vetor de entrada

O ataque ao DHS coincide com uma onda de exploração de falhas no Microsoft SharePoint. A CISA adicionou o CVE-2026-45659 ao seu catálogo de vulnerabilidades exploradas ativamente em 1º de julho, ordenando que agências federais apliquem patches até sábado (4 de julho). A falha, com pontuação CVSS 8.8, permite execução remota de código por attackers autenticados com privilégios mínimos — basta ter permissão de “membro do site”.

A falha resulta de desserialização de dados não confiáveis e afeta o SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A Microsoft lançou patches em 21 de maio, mas o CVE foi acidentalmente omitido dos anúncios oficiais do ciclo de atualizações, o que atrasou a adoção por muitas organizações.

10 mil servidores expostos

Segundo o grupo de monitoramento Shadowserver, mais de 10 mil servidores SharePoint estão expostos na internet. Não se sabe quantos já aplicaram o patch para o CVE-2026-45659, mas o número de sistemas vulneráveis tornou o SharePoint um alvo predileto. Desde 2021, a CISA catalogou 11 vulnerabilidades do SharePoint exploradas na natureza — sete das quais também usadas em ataques de ransomware.

Métrica Dado
Falhas SharePoint exploradas desde 2021 11
Usadas em ataques de ransomware 7
Servidores SharePoint expostos online Mais de 10 mil
CVSS da CVE-2026-45659 8.8 (High)
Prazo do CISA para patch federal 4 de julho de 2026

Risco para o Brasil

O Brasil não opera a HSIN, mas a lição é universal. Qualquer plataforma de compartilhamento de dados governamental que dependa de SharePoint está sob risco imediato. O CVE-2026-45659 exige apenas autenticação básica e complexidade baixa de ataque — exatamente o perfil de falha que bots de exploração automatizada varrem em massa.

Organizações brasileiras que usam SharePoint como plataforma de colaboração corporativa precisam verificar imediatamente se os patches de maio foram aplicados. A exposures amplifica o risco porque, uma vez dentro de um servidor SharePoint, o attacker pode mover lateralmente pela rede, acessar documentos sensíveis e estabelecer persistência.

O que fazer agora

Ações concretas para equipes de segurança:

  1. Verificar se os patches de maio de 2026 para SharePoint foram aplicados em todas as instâncias on-premise;
  2. Auditar permissões de usuários no SharePoint — reduzir ao mínimo necessário, especialmente permissões de “membro do site”;
  3. Restringir acesso externo ao SharePoint, bloqueando exposição direta à internet sempre que possível;
  4. Monitorar logs de autenticação do SharePoint para atividades suspeitas de desserialização;
  5. Garantir que sistemas legados de compartilhamento de dados tenham segmentação de rede reforçada.

Ecossistema Microsoft sob pressão

O SharePoint não é o único alvo. Na mesma semana, a CISA alertou sobre o BlueHammer, falha no Windows Defender explorada por gangs de ransomware. Paralelamente, a Huntress documentou 81 milhões de tentativas de login contra contas do Microsoft 365 em duas semanas, burlando MFA via mecanismo OAuth ROPC mal configurado. O ecossistema Microsoft está sob pressão simultânea de múltiplos vetores.

Pontos-chave:

  • O DHS confirmou invasão da HSIN entre maio e junho de 2026, durante a Copa do Mundo nos EUA;
  • Servidores SharePoint foram parte da infraestrutura comprometida;
  • A CISA ordenou patch obrigatório do CVE-2026-45659 (CVSS 8.8) até 4 de julho;
  • Mais de 10 mil servidores SharePoint estão expostos na internet;
  • Desde 2021, 11 falhas do SharePoint foram exploradas na natureza, 7 por ransomware.

Referências