Credenciais de acesso de agentes da Defesa Civil do Pará foram usadas no disparo de alertas falsos enviados a milhões de celulares entre a noite de sexta-feira (19) e a madrugada de sábado (20), segundo documentos enviados à Polícia Federal e citados pela imprensa.

O caso, que começou com a palavra “misantropia” aparecendo em celulares de diferentes regiões do Brasil, passou a ser investigado como uma possível invasão ao sistema de alertas da Defesa Civil. A principal suspeita é que senhas vinculadas a contas estaduais tenham sido usadas indevidamente para emitir mensagens fora da área autorizada.

Segundo a Folha de S.Paulo, documentos do governo federal enviados à PF apontam que credenciais de dois agentes estaduais do Pará foram usadas nos disparos. O ponto considerado mais grave é que esses usuários teriam autorização para atuar no Pará, mas os alertas foram direcionados a outras unidades da Federação.

Publicidade

O uso indevido das contas resultou em alertas enviados para seis capitais, municípios de três estados e o Distrito Federal. As mensagens chegaram a celulares em São Paulo, Rio de Janeiro, Salvador, Belo Horizonte, Curitiba e Rio Branco, além de localidades em São Paulo, Rio de Janeiro, Mato Grosso do Sul e no DF.

Falha de restrição territorial está sob investigação

O documento enviado à Polícia Federal aponta indício de que a plataforma foi operada sem a devida restrição territorial. Na prática, isso significa que contas vinculadas a um estado teriam conseguido emitir, ou tentar emitir, alertas para áreas onde não deveriam ter permissão..

Ainda não há confirmação oficial de como as credenciais foram obtidas. A investigação deve apurar se houve vazamento de senhas, uso de credenciais fracas, acesso indevido a contas de servidores, falha de autorização ou outro tipo de vulnerabilidade no sistema.

Suposto autor diz ter usado senhas vazadas

O TecMundo publicou que uma pessoa identificada como “Misantropo” assumiu a autoria dos disparos e afirmou ter usado credenciais vazadas antigas da Idap, a Interface de Divulgação de Alertas Públicos.

Segundo o veículo, o suposto autor compartilhou credenciais que seriam de três bombeiros militares do Pará que também atuam na Defesa Civil estadual. O TecMundo informou ainda que, segundo esse relato, uma das senhas usadas seria o próprio CPF de um servidor público.

A reportagem também afirma que o acesso não teria exigido autenticação em múltiplos fatores, apenas usuário, senha e uma verificação simples de conta matemática. A Polícia Federal, porém, não confirmou a autoria e não comenta investigações em andamento.

Por isso, a informação deve ser tratada com cautela: “Misantropo” é um suposto autor que assumiu a ação a um veículo de imprensa, mas ainda não há confirmação oficial de que ele seja o responsável pelo ataque.

Governo restringiu acesso dos estados

O Ministério da Integração e do Desenvolvimento Regional informou que a plataforma do Defesa Civil Alerta foi tirada do ar às 1h30 de sábado após sofrer uma invasão e disparar alertas para diversas regiões do país. A pasta afirmou que a mensagem foi ordenada remotamente por alguém fora do Sistema Nacional de Proteção e Defesa Civil e disse que provavelmente se trata de um ataque hacker.

Após o incidente, o governo restringiu o acesso dos estados ao sistema. O sistema permanece operacional, mas os disparos passaram a ser centralizados pelo Cenad, o Centro Nacional de Gerenciamento de Riscos e Desastres, em Brasília. Enquanto durar a validação de segurança, as Defesas Civis estaduais precisam solicitar eventuais envios ao centro nacional.

A Polícia Federal abriu investigação preliminar para apurar o caso. O governo também informou que colabora com as investigações e que novas informações oficiais só serão divulgadas ao fim da apuração, para não prejudicar o andamento dos trabalhos.

O que é a Idap

A Idap é a Interface de Divulgação de Alertas Públicos, ferramenta usada para cadastrar e distribuir alertas à população em caso de risco de desastre.

Segundo o governo federal, a plataforma permite que alertas sejam enviados por canais como SMS, Telegram, TV por assinatura, Google Alertas Públicos e outros meios. Em publicação oficial sobre a ferramenta, o Ministério da Integração informou que cerca de 180 instituições e aproximadamente 600 usuários, entre estados e municípios, tinham cadastro e capacitação para acessar a Idap.

O caso acende alerta justamente porque esse tipo de sistema depende de confiança pública. Quando uma mensagem falsa aparece no formato de alerta extremo, a população pode se assustar no momento do disparo e também passar a desconfiar de avisos reais no futuro.

O que ainda falta esclarecer

A investigação ainda precisa responder quem obteve as credenciais, como esse acesso foi conseguido e por que contas vinculadas ao Pará teriam conseguido acionar alertas para outras regiões do Brasil.

Também falta esclarecer se houve falha de autenticação, ausência de verificação em múltiplos fatores, vazamento antigo de senhas, erro de configuração territorial ou outra vulnerabilidade.

Até agora, não há confirmação oficial de participação dos agentes do Pará no disparo. A informação pública disponível aponta para o uso de credenciais vinculadas a esses agentes, o que não significa, por si só, que eles tenham participado da ação.

Também não há confirmação oficial sobre motivação política, autoria estrangeira ou grupo organizado por trás do ataque.