Setmana amb un patro clar: empreses espanyoles en el punt de mira. Leroy Merlin i Indra amb incidents que ja tenen portada nacional, Vodafone amb documentacio interna de televenda circulant en fors de la dark web, una llibreria critica sense pedac oficial que es dins de curl, Git i PHP, i un error en l'editor de codi mes usat pel Fortune 500 que executa comandes sense que el desenvolupador faci cap clic. El resum que necessites abans del cap de setmana.

Les cinc notícies de la setmana

🔴 Leroy Merlin Espanya: el grup Saturne filtra 54.723 registres de clients amb DNIs, adreces i targetes de fidelització

El grup Saturne va publicar de forma graüita en fors de hacking una base de dades amb 54.723 registres de clients de leroymerlin.es. Entre les dades exposades: nom i cognoms, numero de DNI, adreca d'enviament, historial de facturacio i codis de targeta de fidelitzacio. El DNI es el element de major gravetat: es un identificador permanent i inalterable que habilita la suplantacio d'identitat en tramits financers i administratius. Es el segon incident de seguretat que afecta Leroy Merlin en menys de set mesos. ESIX va qualificar l'incident amb un index de gravetat de 4,86 sobre 5.

→ Que has de fer: Si ets client de Leroy Merlin, extrema la precaucio davant trucades o emails que usin dades personals per generar confiança. Si la teva empresa te programes de fidelitzacio amb DNI de clients, audita la proteccio d'aquesta base de dades i revisa els terminis de notificacio a l'AEPD. Analisi completa →

🔴 CVE-2026-55200: exploit public per a un error critic a libssh2 sense pedac oficial que afecta curl, Git i PHP

Un investigador va publicar una prova de concepte per a CVE-2026-55200 (CVSS 9.2), un desbordament de heap a la llibreria libssh2 que permet a un servidor SSH malicios o compromes executar codi en qualsevol client que s'hi connecti, sense credencials ni interaccio de l'usuari. La llibreria esta enlacada de forma estatica a curl, Git, PHP, agents de backup i dispositius de xarxa, cosa que significa que una actualitzacio del gestor de paquets del sistema no la corregeix. El pedac esta fusionat al repositori principal pero encara no existeix una versio oficial publicada.

→ Que has de fer: Inventariar quines eines internes usen libssh2, prestant especial atencio a binaris amb enlacament estatic. Aplicar el pedac del commit 97acf3d si no pots esperar la versio oficial. Restringir les connexions SSH sortints cap a servidors externs no fiables mentre es pedaca. Analisi completa →

🔴 Vodafone i Lowi: filtren documentacio interna i credencials d'acces a eines de televenda a traves d'un proveidor extern

Un actor identificat com PescobarLegado va posar a la venda per 400 dolars gairebe un milio de registres i documentacio interna de Be Call BPO, el proveidor que gestiona la televenda de Vodafone i Lowi a Espanya. El mes greu no son les dades de clients, que no apareixen a les mostres publicades, sino les instruccions d'acces a eines critiques com Smart, RetailX i l'aplicacio OneWay, amb credencials que podrien seguir actives. Es el tercer incident al sector teleco espanyol en poques setmanes, despres de Lemmon i Netllar.

→ Que has de fer: Si la teva empresa externalitza processos amb acces a sistemes critics, audita les credencials concedides a proveidors externs i estableix protocols de revocacio immediata davant sospites de compromis. Analisi completa →

🔴 DuneSlide: dos errors critics a Cursor permeten que un prompt injection escapi del sandbox i executi comandes sense clic ni aprovació

Cato AI Labs va publicar la investigacio completa sobre DuneSlide, dues vulnerabilitats critiques (CVSS 9.8) a Cursor, l'editor de codi amb IA que fa servir mes de la meitat del Fortune 500. Un prompt injection zero-click trenca el sandbox per defecte de Cursor 2.x i executa comandes arbitraries sense cap clic ni quadre d'aprovacio. CVE-2026-50548 i CVE-2026-50549 estan pedacats a Cursor 3.0 des d'abril, pero qualsevol versio anterior segueix exposada.

→ Que has de fer: Actualitzar a Cursor 3.0 o superior a tota la flota de desenvolupadors. Auditar quins servidors MCP tenen connectats els agents de codificacio i limitar aquestes connexions. Analisi completa →

🔴 Indra confirma un ciberatac de ransomware: el grup The Gentlemen dona 236 hores abans de filtrar les dades robades

El grup de ransomware The Gentlemen va reivindicar haver vulnerat els sistemes d'Indra Group, la tecnologica espanyola present en defensa, sistemes electorals, administracions publiques i transport. Indra va confirmar la presencia de ransomware en una filial i va activar de seguida el seu CSIRT, descartant la propagacio a la resta del grup. Els atacants van activar un compte enrere de 236 hores. The Gentlemen es un grup de parla russa amb mes de 250 victimes reivindicades des del juliol de 2025.

→ Que has de fer: No pagar el rescat (recomanacio oficial de l'INCIBE). Verificar la segmentacio de xarxa entre filials i entorns critics. Revisar que el pla de resposta a incidents te protocols d'activacio immediata del CSIRT. Analisi completa →

Apolo Cybersecurity: el teu aliat setmanal en ciberseguretat

Cada setmana analitzem les notícies que realment importen per a la seguretat de la teva organitzacio. Si vols saber com esta exposada la teva empresa, estem a un clic.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!