Um grave incidente cibernético acendeu o sinal de alerta sobre as políticas de segurança da informação no setor público brasileiro. Um ataque à Interface de Divulgação de Alertas Públicos (IDAP), sistema utilizado pela Defesa Civil para enviar notificações de emergência extrema à população, expôs que dados cadastrais e acessos de servidores públicos estavam protegidos por mecanismos inaceitavelmente frágeis. O caso mais alarmante revelado pela apuração jornalística do portal Tecmundo indica que uma das contas invadidas utilizava o próprio número de CPF do servidor tanto como “usuário” quanto como “senha”.
O ataque resultou no disparo de alertas indevidos com a palavra “misantropia” para dez estados brasileiros. Para além do susto causado à população, o episódio joga luz sobre o descaso técnico de órgãos governamentais e a urgente necessidade de uma investigação minuciosa e da responsabilização do Estado.
O Caso: Fragilidade primária em sistemas críticos
De acordo com as informações divulgadas, o suposto autor do ataque obteve credenciais legítimas pertencentes a três bombeiros militares do Pará que atuam na Coordenadoria Estadual de Defesa Civil. Ao acessar o sistema da IDAP, o invasor encontrou um cenário de total vulnerabilidade:
- Ausência de Autenticação Multifator (MFA): O sistema não exigia nenhuma confirmação em duas etapas (como aplicativos de autenticação).
- Verificação obsoleta: A única barreira automatizada contra acessos em massa era um “captcha” rudimentar, baseado em contas matemáticas simples (como “2+2”), facilmente contornado por ferramentas tecnológicas modernas.
- Dados em texto limpo: As senhas utilizadas já circulavam ou estavam armazenadas em formato sem criptografia ou proteção adequada.
Como consequência, um sistema capaz de emitir alertas de evacuação e emergência para milhões de cidadãos foi paralisado e segue sem previsão de retorno pelo Ministério da Integração e do Desenvolvimento Regional (MIDR).
A Visão do Instituto SIGILO: Direitos dos Titulares e o Dever de Segurança do Estado
Para o Instituto SIGILO, este incidente é o reflexo de uma cultura de negligência que o poder público insiste em manter no tratamento de dados pessoais. A Lei Geral de Proteção de Dados (LGPD) é explícita ao determinar que o Poder Público deve tratar dados com foco no interesse público e adotar medidas de segurança aptas a proteger as informações contra acessos não autorizados.
Quando um órgão estatal permite a criação de acessos onde o CPF funciona como senha, há uma violação direta aos princípios da segurança, prevenção e adequação. O CPF do servidor é um dado pessoal e, neste contexto, sua utilização indevida como credencial fragilizada colocou em risco não apenas a privacidade do trabalhador, mas a segurança nacional e a estabilidade dos sistemas de alerta do país.
Os servidores públicos, enquanto titulares, têm o direito fundamental de verem seus dados protegidos pela instituição a que servem. Da mesma forma, os milhões de cidadãos que dependem do IDAP para sua segurança física têm o direito de confiar na integridade das plataformas governamentais.
É Urgente: Investigação pelo Governo e Mudança de Postura
O Ministério da Integração e do Desenvolvimento Regional informou que a Polícia Federal conduz uma investigação sobre o caso. O Instituto SIGILO reforça que essa apuração não deve se limitar a identificar o autor dos disparos, mas precisa, obrigatoriamente, auditar e responsabilizar os gestores públicos que permitiram que um sistema dessa magnitude operasse sem as mínimas diretrizes de segurança digital.
A segurança da informação não pode ser tratada como mera burocracia ou “letra morta”. O Estado precisa dar o exemplo: implementar criptografia de ponta, proibir senhas fracas ou óbvias em suas redes e tornar a autenticação em múltiplos fatores (MFA) obrigatória em todos os níveis da administração pública.
O Instituto SIGILO continuará acompanhando os desdobramentos da apuração e cobrando das autoridades respostas firmes. Os dados dos cidadãos e dos servidores não são mercadorias e a segurança pública digital não pode ser deixada ao acaso.
Proteja sua identidade digital! Acompanhe o andamento das ações do Instituto SIGILO e saiba como exercer seus direitos como titular de dados baixando o nosso aplicativo oficial ou acessando sigilo.org.br.
