Na madrugada de sábado (20), cidadãos de ao menos dez Estados brasileiros receberam um alerta extremo com a palavra ‘misantropia’. Até o momento, o incidente é atribuído ao anônimo Misantropo, que assumiu a autoria dos envios indevidos a partir do Idap – sistema de notificações utilizado pela Defesa Civil Nacional. Em entrevista exclusiva ao TecMundo, ele alega ter usado credenciais vazadas de servidores públicos para realizar a invasão.
O TecMundo obteve acesso exclusivo a essas supostas credenciais, enviadas por Misantropo neste domingo (20) para a apuração desta reportagem. Segundo ele, o conjunto utilizado para enviar as notificações envolveria os acessos de três servidores públicos – um com permissões de alertar oito Estados, outro autorizado a alertar o Rio de Janeiro e um último a Curitiba.
No suposto conjunto de credenciais utilizadas, a credencial que possuía autorização para alertar mais estados se destaca. Durante as primeiras horas do incidente, ela foi exposta no vídeo de “bastidores” da invasão, que exibe o nome completo do usuário logado durante os supostos envios. Publicado por Misantropo em seu perfil no X (antigo Twitter), o material possibilitou identificar o dono original do cadastro afetado, atribuído a um sargento do Corpo de Bombeiros Militar do Pará – cujo nome será censurado nesta reportagem.
Procurada, a Polícia Federal afirma que não comenta investigações em andamento. O posicionamento do Ministério da Integração de do Desenvolvimento Regional sobre o caso pode ser lido na íntegra, a seguir.
CPF foi utilizado como “usuário” e “senha” para alertar oito Estados brasileiros
Ao TecMundo, Misantropo alega que as credenciais utilizadas para alertar indevidamente oito Estados brasileiros eram compostas apenas por 11 números. A sequência, que corresponde tanto para o “usuário” quanto para a “senha” do acesso, trata-se de um CPF, pertencente a um sargento do Corpo de Bombeiros Militar do Pará. Ele afirma que o sistema não exigiu nenhuma autenticação em múltiplos fatores, apenas solicitando o resultado de contas matemáticas simples – como “2+2” – para verificar o acesso.
Além disso, os outros dois cadastros supostamente afetados também utilizavam números de CPF como “usuário”, embora contassem com senhas únicas. Um deles possuía uma combinação de oito dígitos, entre números e letras, potencialmente se referindo a uma data de nascimento. Outro aparenta se referir a abreviação de um nome, seguida de quatro dígitos.
Abaixo, o TecMundo compartilha a imagem enviada por Misantropo, contendo as supostas credenciais. O arquivo foi apurado, mas censurado, já que há um risco notável de que os servidores afetados possam ter reutilizado as informações para acessar outros serviços públicos. Por meios legais, também não é possível verificar a autenticidade dos acessos de maneira independente.
Apesar das duas credenciais tecnicamente possuírem senhas “únicas”, elas ainda são extremamente simples. Em um cenário onde há interceptação de dados criptografados, os cibercriminosos utilizam programas para “quebrar” as combinações a partir de longas listas de palavras – batizadas de dicionários. Com alguns comandos, mesmo protegidas, todas as três senhas poderiam ser reveladas em minutos se estivessem nesse estado.
Em outro exemplo teórico, caso as senhas criptografadas fossem compostas de 32 dígitos com caracteres especiais, o processo de “quebra” seria praticamente inviável. Gerada por um programa dedicado, uma senha com estas características poderia ser: “jp6x%QkyxwPaePArWx28PrGwwcHXMqX9”. Por natureza, desde que os servidores não armazenem dados sem proteção, combinações complexas como essa dificultam a atividade criminosa mesmo quando há vazamento de informações.
No contexto da suposta invasão do Idap, entretanto, é importante esclarecer que as credenciais utilizadas já estavam em texto simples – ou seja, sem exigir qualquer passo extra de quem desejasse utilizá-las. Esse fator sugere que o conjunto de dados vazado, que deu origem às senhas, foi previamente descriptografado ou as coletou sem qualquer proteção.
Ao Estadão, o secretário Nacional de Proteção e Defesa Civil, Wolnei Wolff, afirmou que não há previsão de retorno para o funcionamento do Idap. Ele também confirma que as credenciais utilizadas no incidente foram atualizadas.
Por que o sistema do Idap exigiu contas matemáticas para verificar o acesso?
Chamado popularmente de “captcha”, essa medida de segurança tem função de evitar tentativas automatizadas de acesso, feitas por programas especializados. Na prática, o recurso funciona como um “verificador” de legitimidade, evitando abuso de recursos e ataques automatizados de força bruta em um servidor. Ao solicitar que o usuário responda uma questão matemática ou identifique determinados objetos em imagens, o sistema entende que há um humano por trás dos cliques ou toques.
Contudo, as soluções modernas de cibersegurança, que são utilizadas tanto por profissionais credenciados quanto por criminosos, já estão adaptadas para medidas como essa. Elas conseguem simular o comportamento humano e, assim, são capazes de driblar recursos mais simples de verificação como esse.
Por esse motivo, há os métodos de autenticação em múltiplos fatores, que funcionam como uma segunda etapa de proteção caso a senha seja comprometida. Esse recurso solicita que o usuário utilize outro aplicativo ou dispositivo para confirmar a legitimidade de seu acesso, mas nem sempre é ativado por padrão.
Entre as métodos de autenticação em múltiplos fatores, os mais populares são as notificações por SMS ou e-mail, ainda que possuam brechas de segurança. Nessas alternativas, o problema está no contexto da ameaça – se o invasor obtiver acesso ao dispositivo ou ambiente afetado, ele também conseguirá acesso às demais contas.
Neste contexto, as melhores e mais práticas alternativas são os aplicativos dedicados de autenticação, como o Google Authenticator ou Proton Authenticator. Eles fornecem um código temporário, que geralmente expira em sessenta segundos, para conceder acesso a uma conta. No entanto, é necessário que o sistema acessado possua suporte para esses recursos e que o usuário realize a configuração adequada.
Posicionamento do Ministério da Integração e do Desenvolvimento Regional sobre o caso
Em nota, Ministério da Integração de do Desenvolvimento Regional informou que há uma investigação em curso, conduzida pela Polícia Federal. Atualizações oficiais somente serão divulgadas ao fim do processo, para evitar interferência no “andamento dos trabalhos”.
- “Sobre a possível invasão hacker ao sistema Defesa Civil Alerta na noite da sexta-feira, 19 de junho, o Ministério da Integração e do Desenvolvimento Regional informa que uma investigação está em curso no âmbito da Polícia Federal. A Secretaria Nacional de Proteção e Defesa Civil está colaborando com as investigações da PF e todas as informações serão divulgadas oportunamente, ao fim da investigação, inclusive para não prejudicar o andamento dos trabalhos.”
Reportagem em atualização…