O hacker responsável pelo disparo de alertas falsos da Defesa Civil em milhões de celulares aprendeu a operar a plataforma por meio de um curso disponibilizado pelo próprio governo federal. A informação foi confirmada pelo Ministério da Integração e do Desenvolvimento Regional (MIDR) em resposta oficial enviada à Câmara dos Deputados.
Segundo a pasta, o invasor utilizou credenciais legítimas de acesso ao sistema e explorou uma vulnerabilidade operacional para enviar mensagens falsas durante a madrugada de 20 de junho. Entre os alertas apareciam termos como “misantropia”, via notificações que chegaram a celulares em diferentes estados brasileiros.
O esclarecimento foi encaminhado ao Congresso após um requerimento de informações sobre o incidente. De acordo com o ministério, o autor do ataque aprendeu a utilizar a plataforma por meio de um treinamento oferecido na própria infraestrutura governamental, mas isso não significa que o curso ensinasse técnicas de invasão ou permitisse acesso privilegiado aos sistemas. O aprendizado envolvia apenas a operação da ferramenta destinada aos agentes autorizados.
O problema não foi o curso
A resposta do governo reforça que o incidente ocorreu porque foram utilizadas credenciais válidas de usuários cadastrados na plataforma IDAP, e não porque o sistema de treinamento tivesse sido comprometido.
Essa distinção é importante: cursos de capacitação costumam ensinar como operar sistemas críticos para servidores públicos, mas a segurança depende de mecanismos como autenticação forte, controle de acesso e proteção das credenciais utilizadas pelos operadores.
As investigações ainda buscam esclarecer exatamente como essas credenciais foram obtidas. Em junho, o próprio ministério evitava confirmar detalhes sobre a dinâmica do ataque enquanto a Polícia Federal conduzia a apuração.
Ataque acelerou mudanças na plataforma
Depois da invasão, o governo iniciou uma série de mudanças no sistema Defesa Civil Alerta.
Entre as medidas já anunciadas estão:
- autenticação por meio do Gov.br;
- restrição de acesso à rede interna;
- troca de senhas utilizadas pelos órgãos estaduais;
- implementação de novos fatores de autenticação;
- migração para uma plataforma considerada mais segura.
Essas alterações ganharam prioridade justamente após o episódio dos alertas falsos, que evidenciou que um sistema voltado para situações de emergência também pode se tornar alvo de ataques cibernéticos caso as credenciais de operadores sejam comprometidas.
O que ainda não está confirmado
Embora o ministério tenha informado que o invasor aprendeu a operar o sistema em um curso oficial, a investigação ainda não concluiu todos os detalhes sobre a obtenção das credenciais utilizadas no ataque nem se houve outras vulnerabilidades exploradas.
Também não há confirmação pública de que o treinamento em si tenha apresentado qualquer falha de segurança. As informações divulgadas até o momento indicam apenas que o conhecimento operacional adquirido durante o curso foi utilizado posteriormente por quem conseguiu acesso indevido ao sistema.
Um aspecto que chama atenção é que a plataforma foi criada justamente para situações críticas, utilizando tecnologia Cell Broadcast capaz de interromper o uso normal do smartphone e emitir alertas sonoros mesmo com o aparelho no modo silencioso.