O caso dos alertas falsos que atingiram milhões de celulares em diversas regiões do Brasil ganhou um novo elemento neste fim de semana. Em entrevista ao portal TecMundo, o usuário que assumiu a autoria dos disparos afirmou ter utilizado credenciais vazadas de servidores públicos para acessar o sistema responsável pelo envio das mensagens.
As notificações, classificadas como “Alerta Extremo”, foram enviadas entre a noite de sexta-feira (19) e a madrugada de sábado (20) e continham expressões como “misantropia”, “misantropi4” e até referências a um suposto “ataque alienígena”. O episódio levou a Defesa Civil Nacional a retirar preventivamente sua plataforma do ar e acionou uma investigação da Polícia Federal.
Nas redes sociais, um usuário identificado como “Misantropo” publicou imagens e vídeos que supostamente mostrariam o acesso ao sistema utilizado para o disparo dos alertas.
Ao TecMundo, ele afirmou que utilizou credenciais antigas vinculadas à Interface de Divulgação de Alertas Públicos (Idap), plataforma usada por órgãos de defesa civil para emitir avisos à população em situações de emergência.
Segundo o relato, o acesso teria ocorrido por meio de senhas que não eram atualizadas havia anos. “Usei credenciais vazadas antigas do IDAP. Nenhum dos funcionários que eu tentei acesso trocou a senha em anos”, afirmou durante a entrevista.
O que é o Idap
A Interface de Divulgação de Alertas Públicos (Idap) é uma ferramenta utilizada pelo Ministério da Integração e do Desenvolvimento Regional, com suporte da Defesa Civil Nacional, para o envio de alertas relacionados a desastres naturais e outras situações de risco.
O sistema integra diferentes canais de comunicação, incluindo SMS, WhatsApp, Telegram, Google Public Alerts e o Defesa Civil Alerta, mecanismo que utiliza a tecnologia Cell Broadcast para exibir notificações diretamente na tela dos celulares.
Diferentemente das mensagens convencionais, os alertas de nível extremo podem emitir sinais sonoros de alta intensidade e interromper qualquer atividade em andamento no aparelho.
O suposto invasor afirmou que utilizou um método conhecido no setor de segurança digital como “credential stuffing”, prática que consiste em testar combinações de usuários e senhas obtidas em vazamentos anteriores.
Quando as credenciais continuam válidas e não existe autenticação em múltiplos fatores, os acessos podem ocorrer sem a necessidade de invasão direta aos sistemas. Especialistas em segurança consideram esse tipo de ataque uma das formas mais comuns de comprometimento de contas corporativas e governamentais.
Outro ponto citado pelo usuário foi a suposta fragilidade dos mecanismos de proteção da plataforma. Segundo ele, uma das barreiras de validação seria apenas uma operação matemática simples para confirmar que o acesso não estava sendo realizado por robôs automatizados.
A alegação, porém, ainda não foi confirmada oficialmente pelos órgãos responsáveis pela plataforma.
PF investiga o caso
A Polícia Federal investiga a origem dos disparos e busca identificar os responsáveis pelo envio dos alertas.
A Defesa Civil Nacional informou que o sistema foi temporariamente retirado do ar após a detecção da atividade irregular e que medidas de segurança foram adotadas para evitar novos incidentes.
Até o momento, não há confirmação oficial de que as credenciais utilizadas tenham sido obtidas por meio de vazamentos nem de que o usuário entrevistado seja efetivamente o responsável pelo ataque.
Apuração continua
As declarações do suposto hacker representam apenas uma das linhas de investigação analisadas pelas autoridades.
A PF, a Defesa Civil Nacional e equipes de segurança cibernética do governo federal seguem examinando registros de acesso, logs da plataforma e outros elementos técnicos para determinar como ocorreu o disparo indevido das mensagens que causaram preocupação em milhões de brasileiros.