O principal escudo tecnológico do Brasil contra desastres climáticos virou alvo de investigação criminal e expôs uma falha grave na infraestrutura crítica de TI do governo federal. O sistema Defesa Civil Alerta teve sua segurança comprometida neste fim de semana por um erro primário de governança de dados. O suposto invasor revelou ter utilizado o Cadastro de Pessoas Físicas (CPF) de um servidor público tanto como login quanto como senha para acessar a plataforma.
A denúncia veio a público no domingo (21) por meio do portal TecMundo. O autor das mensagens falsas contendo o termo “misantropia” declarou acesso à Interface de Divulgação de Alertas Públicos (Idap) utilizando contas de três bombeiros militares do Pará. O incidente evidencia a ausência de mecanismos essenciais de proteção cibernética em plataformas governamentais, como a autenticação em múltiplos fatores (MFA).
Vulnerabilidade na arquitetura de permissões e infraestrutura crítica
O Ministério da Integração e do Desenvolvimento Regional (MIDR) divulgou uma nota oficial alegando a ausência de danos estruturais na programação do sistema. Especialistas em segurança da informação rebatem essa visão e apontam que a verdadeira vulnerabilidade cibernética reside na governança das permissões de usuário.
Segundo o vazamento das credenciais, um operador estadual possuía autorização administrativa para enviar notificações de nível “Extremo” a oito estados diferentes. Esse cenário viola o Princípio do Menor Privilégio (PoLP). Essa diretriz básica de segurança da informação exige a limitação do acesso de cada usuário estritamente às funções necessárias para o seu cargo.
Tecnologia Cell Broadcast e o impacto em 30 milhões de brasileiros
O balanço técnico preliminar da Secretaria Nacional de Proteção e Defesa Civil identificou dez envios indevidos entre a noite de sexta-feira (19) e a madrugada de sábado (20). Nove disparos ocorreram pela tecnologia cell broadcast (transmissão via rádio) e um via SMS.
A Agência Brasil confirmou o recebimento das notificações em grandes polos urbanos, incluindo capitais como São Paulo, Rio de Janeiro, Belo Horizonte, Curitiba e Brasília. A cobertura investigativa da Fórum detalhou o alcance dos alertas extremos e apontou que o incidente de segurança impactou um público potencial de 30 milhões de pessoas.
Ação da Polícia Federal e os riscos para as políticas de contingência climática
O governo federal suspendeu todas as conexões externas à plataforma Idap e acionou o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). A Polícia Federal iniciou imediatamente a perícia nos registros de sistema (logs) para rastrear o endereço de IP do invasor, identificar o método da invasão e comprovar a autoria do crime digital.
O secretário nacional Wolnei Wolff anunciou o desenvolvimento de uma atualização de software voltada à integridade do banco de dados. O maior desafio do Ministério da Integração agora é evitar a descredibilização das políticas públicas de contingência climática. A eficácia da ferramenta depende da confiança da população para garantir uma resposta rápida em situações reais de enchentes ou deslizamentos.
