Sistema da Defesa Civil teve só um teste antes de alertas falsos
Plataforma passou por teste de invasão apenas em 2023. Ministério trabalha em nova versão e nova avaliação

O sistema de alertas públicos da Defesa Civil tinha passado por apenas um teste de segurança antes do episódio que levou ao envio de mensagens falsas para milhões de celulares. De acordo com um documento do Ministério do Desenvolvimento Regional, a última avaliação da plataforma ocorreu em dezembro de 2023.
Em junho deste ano, a Interface de Divulgação de Alertas Públicos (Idap) foi utilizada para disparar falsos alertas de desastre para municípios de sete estados e do Distrito Federal.
Segundo a apuração preliminar da Defesa Civil Nacional, contas de agentes do Pará teriam sido utilizadas para enviar mensagens a celulares de milhões de brasileiros com conteúdos falsos, que incluíam termos como “misantropia” e “ataque alienígena”. O caso é investigado pela Polícia Federal.

Receba no seu email as notícias de Boletim Metrópoles
Frequência de envio: Diário
Ver todasO documento interno, que será encaminhado à Câmara dos Deputados, foi elaborado pela Coordenação-Geral de Sistemas do Ministério do Desenvolvimento Regional.
Entre no canal de WhatsApp do MetrópolesNo texto obtido pelo Metrópoles, a área técnica informa que a Idap foi submetida a testes de intrusão, conhecidos como pentest, em dezembro de 2023, quando o Defesa Civil Alerta estava na fase final de estruturação e lançamento.
Segundo a pasta, os testes foram realizados pelo Centro Integrado de Segurança Cibernética do Governo Digital (CISC). Na ocasião, foram identificadas interfaces “publicadas externamente que poderiam comprometer o sistema bem como ausência de criptografia”. As vulnerabilidades encontradas, de acordo com o documento, foram corrigidas.
Área técnica diz que não houve ataque hacker
A Coordenação-Geral de Sistemas afirmou que o sistema não sofreu um ataque hacker entre a noite de 19 de junho e a madrugada do dia seguinte.
Segundo o departamento, os disparos indevidos ocorreram a partir do uso de credenciais de acesso que foram “encontradas na internet”. A área técnica também afirmou que manuais sobre o funcionamento da plataforma contribuíram para a realização dos envios.
“Não houve invasão cibernética ao sistema. O hacker fez uso de credenciais de acesso válidas encontradas na internet e usou manuais disponibilizados na escola de governo usados para treinamento dos profissionais para o envio do Defesa Civil Alerta”, diz o ofício.
Nova plataforma e novo teste
Após os disparos irregulares, o Ministério do Desenvolvimento Regional adotou medidas para corrigir falhas e reforçar a segurança do Idap. Em uma primeira etapa, a pasta bloqueou o acesso externo ao sistema.
Os acessos foram restabelecidos nos últimos dias após a implementação de novos fatores de autenticação e da conexão dos estados, por meio de rede privada virtual (VPN), à rede do ministério.
A etapa final do plano prevê o lançamento de uma nova versão do Idap.
Nova versão do Idap
- A nova plataforma de alertas da Defesa Civil deve ser implementada até o final de julho.
- O novo sistema deverá ter maior capacidade de rastreamento das operações.
- A expectativa é que existam barreiras “adicionais sobre funcionalidades sensíveis”.
- Além de melhorias tecnológicas, a nova versão deve ter mais fatores de autenticação e revisão de acesso dos usuários.
- Também há previsão de que o sistema passe a emitir apenas alertas com textos pré-definidos, sem a possibilidade de edição livre das mensagens.
Antes de entrar em operação, a nova versão passará por um processo de validação de segurança envolvendo a Secretaria de Governo Digital, o Gabinete de Segurança Institucional (GSI) e equipes especializadas em guerra cibernética.
A pasta já acionou o Centro Integrado de Segurança Cibernética do Governo Digital (CISC), que deverá realizar novos testes de invasão para avaliar a robustez dos mecanismos de proteção.
Segundo ofício obtido pelo Metrópoles, o objetivo da avaliação é “fortalecer a resiliência dos sistemas institucionais diante de potenciais vulnerabilidades cibernéticas”.
Os testes deverão “identificar eventuais fragilidades de segurança, avaliar a eficácia dos controles de proteção existentes e subsidiar a adoção de medidas preventivas e corretivas que contribuam para o aprimoramento da segurança e da proteção desses ativos de informação”.














