Novas informações sobre o incidente que levou ao disparo indevido de alertas extremos pelo sistema Defesa Civil Alerta ampliam a gravidade do caso e colocam em discussão a segurança dos mecanismos de autenticação usados na Interface de Divulgação de Alertas Públicos, a IDAP. Segundo reportagem do TecMundo, um jovem que se apresentou como autor do ataque afirmou ter utilizado credenciais vinculadas a servidores públicos para acessar a plataforma e enviar as notificações falsas com variações da palavra “misantropia”.

A informação ainda não foi confirmada oficialmente pelo Ministério da Integração e do Desenvolvimento Regional (MIDR), que afirma aguardar a conclusão da apuração técnica e policial. Em nota, a pasta informou que a investigação está em curso no âmbito da Polícia Federal e que a Secretaria Nacional de Proteção e Defesa Civil colabora com os trabalhos. O ministério também declarou que não confirma hipóteses sobre a autoria ou a dinâmica do ataque enquanto a apuração não for concluída.

De acordo com o TecMundo, o suposto invasor compartilhou com a reportagem um conjunto de credenciais que teria sido usado na invasão à IDAP. Esses acessos estariam associados a três bombeiros militares do Pará que também atuam na Defesa Civil estadual. A reportagem afirma que uma das contas teria utilizado o CPF de um servidor tanto como nome de usuário quanto como senha, enquanto outros dois acessos também usariam CPF como identificador de login e senhas consideradas simples.

O caso, se confirmado pela perícia, indicaria um cenário clássico de comprometimento por credenciais fracas ou mal protegidas, e não necessariamente uma exploração sofisticada de vulnerabilidade técnica. Ainda assim, o impacto é elevado: as contas supostamente comprometidas teriam permissões para enviar alertas a diferentes regiões, o que teria permitido o disparo de mensagens classificadas como Alerta Extremo para celulares em vários pontos do país.

A ausência de autenticação multifator também passou a ser um dos pontos centrais da discussão. Segundo o relato atribuído ao suposto invasor, o sistema exigia apenas usuário, senha e uma verificação simples do tipo conta matemática, mecanismo semelhante a um captcha básico. Esse tipo de verificação pode dificultar acessos automatizados em massa, mas não substitui uma segunda camada real de autenticação. Em sistemas críticos, especialmente os que permitem disparo de mensagens públicas em larga escala, a autenticação multifator é considerada um controle essencial para reduzir danos quando uma senha é exposta, reutilizada ou descoberta.

O MIDR já havia confirmado que o incidente envolveu a IDAP, interface usada para cadastramento e envio de alertas públicos. Em comunicado, o ministério informou que o acionamento indevido ocorreu na madrugada de sábado, 20 de junho, e que a plataforma foi temporariamente suspensa enquanto a Diretoria de Tecnologia da Informação trabalha em um restabelecimento escalonado e seguro do sistema.

Segundo o levantamento técnico inicial divulgado pelo governo, as transmissões não autorizadas ocorreram entre 23h41 de sexta-feira, 19 de junho, e 1h23 de sábado, 20 de junho. Ao todo, foram identificados 10 disparos indevidos. Nove deles utilizaram a tecnologia Cell Broadcast, empregada pelo Defesa Civil Alerta, acionando o nível “Extremo”, que emite aviso sonoro em situações de risco iminente. O décimo disparo ocorreu por SMS.

O ministério informou ainda que houve relatos de alertas não autorizados nos estados de São Paulo, Mato Grosso do Sul, Rio de Janeiro, Paraná e no Distrito Federal. A pasta ressaltou, no entanto, que, por se tratar de um acionamento não oficial, ainda não era possível calcular quantos aparelhos receberam as mensagens nem identificar todas as localidades atingidas.

Como resposta imediata, a Secretaria Nacional de Proteção e Defesa Civil bloqueou todos os acessos externos à IDAP, suspendeu as contas de usuários envolvidas no incidente e preservou registros e logins do sistema para a perícia. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, o CTIR Gov, também foi notificado para acompanhar o caso.

No domingo, 21 de junho, o MIDR informou que o Defesa Civil Alerta continuava operacional, mas de forma fechada para o Centro Nacional de Gerenciamento de Riscos e Desastres, o Cenad, sem acesso dos estados. Na prática, caso uma Defesa Civil estadual precise emitir um alerta por evento climático extremo, deverá solicitar o disparo ao Cenad. A plataforma segue em fase de validações antes da retomada integral da operação.

A decisão restringe temporariamente a autonomia de órgãos estaduais no uso do sistema, mas reduz a superfície de ataque enquanto a investigação avança. Em ambientes críticos, esse tipo de contenção é uma medida comum após incidentes: limita o número de usuários com acesso, preserva evidências, reduz o risco de novos disparos indevidos e permite revisão dos controles antes da reabertura total da plataforma.

Outro ponto levantado por publicações técnicas em redes sociais envolve a existência de versões arquivadas de arquivos públicos da aplicação, como um bundle JavaScript da IDAP preservado pelo Internet Archive. Arquivos desse tipo, por serem parte do front-end de uma aplicação web, podem revelar nomes de rotas, estruturas de chamadas, fluxos de interface e outras pistas sobre o funcionamento do sistema. Isso, isoladamente, não comprova uma exploração, mas pode ajudar pesquisadores ou invasores a entender melhor a superfície exposta de uma aplicação.

É importante separar exposição de lógica client-side de vulnerabilidade explorável. A presença de informações em um arquivo JavaScript público não significa, por si só, que o sistema tenha sido invadido por meio desse arquivo. A confirmação da cadeia de ataque depende de análise de logs, origem dos acessos, contas utilizadas, permissões associadas, trilhas de auditoria, controles de autenticação e eventuais falhas no lado servidor. Até o momento, o MIDR não confirmou a dinâmica do ataque.

Ainda assim, as informações divulgadas até agora apontam para riscos relevantes de governança de identidade e acesso. Caso a hipótese de uso de CPF como senha seja confirmada, o incidente demonstraria falhas básicas de higiene de credenciais, como ausência de política robusta de senha, possível falta de bloqueio para senhas previsíveis, inexistência de autenticação multifator obrigatória e permissões capazes de gerar impacto nacional a partir de contas individuais.

O impacto operacional vai além do alerta falso. Sistemas de comunicação de emergência dependem de confiança pública. Quando um alerta extremo é disparado indevidamente, especialmente de madrugada, a população pode passar a desconfiar de avisos futuros, inclusive em situações reais de risco. Esse efeito, conhecido em discussões de segurança e gestão de crise como “cry wolf”, ocorre quando falsos alarmes reduzem a probabilidade de resposta adequada a alertas legítimos.

A tecnologia Cell Broadcast, usada no Defesa Civil Alerta, é adotada em sistemas de emergência de diversos países porque permite enviar notificações para celulares em uma área específica sem depender de cadastro prévio, pacote de dados ou conexão Wi-Fi. Em alertas extremos, o aviso pode tocar mesmo com o aparelho em modo silencioso e bloquear a tela até que o usuário feche a mensagem. Justamente por esse alcance e urgência, o acesso administrativo à ferramenta precisa ser tratado como ativo crítico.

O secretário nacional de Proteção e Defesa Civil, Wolnei Wolff, afirmou que uma nova versão do sistema já está em desenvolvimento para melhorar a segurança da plataforma. Segundo o governo, a prioridade é reativar a operação de forma segura, após perícia e validações técnicas. A pasta também informou não haver, até o momento, evidência de dano estrutural ao sistema Defesa Civil Alerta.

A investigação da Polícia Federal deverá esclarecer se houve apenas uso indevido de credenciais válidas, se as senhas foram obtidas por vazamento anterior, engenharia social, reutilização em outros serviços, exposição indevida ou outro vetor de ataque. Também será necessário avaliar se as contas comprometidas tinham permissões excessivas e se havia controles suficientes para validar comandos de alto impacto, como o envio de um Alerta Extremo.

O incidente reforça uma lição já conhecida na segurança da informação: sistemas críticos não podem depender apenas de senha. Em plataformas governamentais com capacidade de comunicação em massa, controles como autenticação multifator obrigatória, gestão de privilégios, segregação de funções, aprovação em múltiplas etapas para alertas extremos, monitoramento comportamental, trilhas de auditoria imutáveis e resposta rápida a credenciais comprometidas não são recursos opcionais.

O caso do alerta “misantropia” começou como um episódio incomum e aparentemente confuso para milhões de usuários. Com as novas informações, porém, o centro da apuração se desloca para um problema mais sério: como uma plataforma pública sensível, usada para avisos de emergência, pode ter sido acessada indevidamente a partir de credenciais associadas a usuários autorizados. A resposta oficial dependerá da perícia, mas o incidente já expôs a urgência de revisar controles de identidade, acesso e validação em sistemas governamentais críticos.