EXCLUSIVO TECMUNDO — O anônimo conhecido como Misantropo, que assumiu a autoria dos envios indevidos de notificações pelo Idap — sistema de alertas da Defesa Civil Nacional —, concedeu entrevista exclusiva ao TecMundo. Ele sustenta ter utilizado credenciais vazadas de servidores públicos para concretizar a invasão.
Nas primeiras horas do sábado (20), moradores de ao menos dez Estados do Brasil foram surpreendidos por um alerta extremo com a palavra "misantropia". O caso está sendo apurado pela Polícia Federal (PF), e o Ministério da Integração e do Desenvolvimento Regional (MIDR) declarou que colabora com as investigações.
De acordo com o relato do suposto invasor, o pacote de acessos utilizado envolvia três cadastros de servidores: um com permissões para emitir alertas em oito Estados, outro habilitado para o Rio de Janeiro e um terceiro para Curitiba. Misantropo compartilhou com o TecMundo, neste domingo (20), as supostas credenciais empregadas no ataque.
Entre os acessos, o que oferecia alcance sobre o maior número de unidades federativas chamou atenção. Logo nas primeiras horas do incidente, esse cadastro apareceu em um vídeo de bastidores divulgado por Misantropo em sua conta no X (antigo Twitter). O material exibia o nome completo do usuário conectado, o que viabilizou a identificação do titular — um sargento do Corpo de Bombeiros Militar do Pará, cujo nome será preservado nesta reportagem.
Procurada, a PF declarou que não comenta investigações em curso. Já o posicionamento do MIDR pode ser conferido na íntegra ao final do texto.
Cadastro de Pessoas Físicas (CPF) serviu como "usuário" e "senha" para oito Estados
Em conversa com o TecMundo, Misantropo afirmou que as credenciais que viabilizaram os alertas indevidos em oito Estados eram formadas por onze números — um Cadastro de Pessoas Físicas (CPF). A mesma sequência, segundo ele, valia tanto para o campo de "usuário" quanto para o de "senha". O CPF pertence ao sargento do Corpo de Bombeiros Militar do Pará citado anteriormente.
O suposto invasor acrescentou que o sistema não exigiu autenticação em múltiplos fatores, recorrendo apenas a um desafio matemático simples (como "2+2") para validar o acesso. Os outros dois cadastros envolvidos no episódio também empregavam CPFs como login, mas contavam com senhas distintas: uma combinação de oito dígitos entre números e letras, possivelmente uma data de nascimento, e outra formada pela abreviação de um nome seguida de quatro algarismos.
O TecMundo recebeu de Misantropo uma imagem com as supostas credenciais. O material foi analisado, mas partes foram censuradas diante do risco de que os servidores afetados tenham reutilizado as mesmas senhas em outros serviços públicos. Por questões legais, não foi possível confirmar de forma independente a autenticidade dos acessos.
Embora as duas senhas descritas sejam "únicas", ambas permanecem extremamente frágeis. Em um cenário de interceptação de dados criptografados, ferramentas de quebra baseadas em extensas listas de combinações — conhecidas como "dicionários" — poderiam revelá-las em poucos minutos. Já uma senha robusta, com 32 caracteres alfanuméricos e símbolos, como "jp6x%QkyxwPaePArWx28PrGwwcHXMqX9", torna o processo praticamente inviável, desde que os servidores não armazenem informações sem proteção.
No episódio do Idap, porém, as credenciais estavam em texto simples, sem qualquer camada adicional de segurança. Esse detalhe indica que os dados podem ter sido descriptografados previamente ou capturados sem criptografia.
Em declaração ao Estadão, o secretário Nacional de Proteção e Defesa Civil, Wolnei Wolff, afirmou que não há prazo para a normalização do Idap e confirmou que as credenciais envolvidas no incidente foram atualizadas.
Sobre a etapa de verificação do Idap, vale contextualizar que a ferramenta popularmente chamada de "captcha" tem como objetivo distinguir humanos de programas automatizados, dificultando ataques de força bruta contra um servidor. O recurso, no entanto, já é contornado por soluções modernas de cibersegurança, que simulam o comportamento humano e driblam verificações mais simples.
Entre as alternativas de autenticação em múltiplos fatores, as mais difundidas são as notificações por SMS (Short Message Service) ou e-mail, mas ambas apresentam vulnerabilidades: se o invasor obtiver acesso ao dispositivo da vítima, pode alcançar as demais contas vinculadas. Alternativas mais seguras, como os aplicativos Google Authenticator e Proton Authenticator, geram códigos temporários que expiram em cerca de sessenta segundos, embora dependam de suporte do sistema e da configuração feita pelo usuário.
O que diz o Ministério da Integração e do Desenvolvimento Regional
Em comunicado, o MIDR informou que a apuração está sob responsabilidade da PF e que atualizações serão divulgadas somente após a conclusão do processo, para não comprometer o "andamento dos trabalhos". A Secretaria Nacional de Proteção e Defesa Civil está colaborando com a investigação.
- "Sobre a possível invasão hacker ao sistema Defesa Civil Alerta na noite de sexta-feira, 19 de junho, o Ministério da Integração e do Desenvolvimento Regional informa que uma investigação está em curso no âmbito da Polícia Federal. A Secretaria Nacional de Proteção e Defesa Civil está colaborando com as investigações da PF e todas as informações serão divulgadas oportunamente, ao fim da investigação, inclusive para não prejudicar o andamento dos trabalhos."
Reportagem em atualização.
Adriano Camacho é Editor de Conteúdo no TecMundo e no Voxel, com cinco anos de experiência na área. Pós-graduado em Jornalismo Digital pela FAAP (Fundação Armando Alvares Penteado), é especializado na cobertura de assuntos ligados à tecnologia e à cultura gamer contemporânea.
