Pular para o conteúdo

Defesa Civil teve apenas um teste de segurança antes de envio de alertas falsos

Image
NOGUEIRA/METRÓPOLES @kebecfotografo

O sistema de alertas da Defesa Civil do Brasil, conhecido como Interface de Divulgação de Alertas Públicos (Idap), foi submetido a apenas um teste de segurança antes do incidente que resultou no envio de mensagens falsas para milhões de celulares. Documentos do Ministério do Desenvolvimento Regional revelam que a última avaliação do sistema ocorreu em dezembro de 2023, antes de um episódio em junho deste ano, quando alertas de desastre foram disparados de forma indevida para cidadãos em sete estados e no Distrito Federal.

A investigação preliminar da Defesa Civil Nacional aponta que contas de agentes do estado do Pará foram utilizadas para enviar mensagens com conteúdos falsos, incluindo termos como “misantropia” e “ataque alienígena”. O caso está sendo investigado pela Polícia Federal, que busca identificar as circunstâncias e responsáveis pelos envios.

De acordo com um documento interno que será enviado à Câmara dos Deputados, a Coordenação-Geral de Sistemas do Ministério do Desenvolvimento Regional informa que a Idap foi testada em um processo de pentest em dezembro de 2023, quando o sistema estava na fase final de estruturação. Os testes, realizados pelo Centro Integrado de Segurança Cibernética do Governo Digital (CISC), identificaram vulnerabilidades, como a falta de criptografia e interfaces expostas que poderiam comprometer a segurança do sistema. As falhas encontradas foram corrigidas antes do lançamento do sistema.

O disparo irregular de mensagens ocorreu entre a noite de 19 de junho e a madrugada do dia seguinte, mas a Coordenação-Geral de Sistemas esclareceu que não houve um ataque hacker. Segundo a pasta, o envio indevido de alertas foi possível devido ao uso de credenciais de acesso que estavam disponíveis na internet. Além disso, manuais sobre o funcionamento da plataforma também foram utilizados para facilitar os envios. O ofício da Coordenação-Geral afirma que “não houve invasão cibernética ao sistema”, pois as credenciais usadas eram válidas e acessíveis publicamente.

Após o incidente, o Ministério do Desenvolvimento Regional implementou medidas para reforçar a segurança do Idap. Inicialmente, o acesso externo ao sistema foi bloqueado. Recentemente, o acesso foi restabelecido após a introdução de novos fatores de autenticação e a conexão dos estados à rede do ministério por meio de uma rede privada virtual (VPN). A etapa final do plano inclui o lançamento de uma nova versão do Idap, que passará por um rigoroso processo de validação de segurança, envolvendo a Secretaria de Governo Digital e o Gabinete de Segurança Institucional (GSI).

A pasta já acionou o CISC para realizar novos testes de invasão, com o objetivo de avaliar a robustez dos mecanismos de proteção do sistema. O ofício obtido indica que a avaliação busca “fortalecer a resiliência dos sistemas institucionais diante de potenciais vulnerabilidades cibernéticas”. Os testes visam identificar fragilidades de segurança, avaliar a eficácia dos controles de proteção e subsidiar a adoção de medidas preventivas e corretivas, contribuindo para o aprimoramento da segurança e proteção dos ativos de informação.