alerta falso da Defesa Civil misantropia menina olhado
  1. Início >
  2. Outras áreas >
  3. Alerta falso “misantropia” da Defesa Civil: LGPD e segurança da informação >
Por Fernando Pena  
    4 minutos para ler

    Alerta falso “misantropia” da Defesa Civil: LGPD e segurança da informação

    Na madrugada de 20 de junho de 2026, cerca de 30 milhões de celulares em oito estados e no Distrito Federal receberam um “Alerta Extremo” com uma única palavra: misantropia. O sistema oficial Defesa Civil Alerta havia sido invadido remotamente por alguém alheio ao Sistema Nacional de Proteção e Defesa Civil.

    Muito se discutiu sobre o conteúdo bizarro da mensagem e o pânico que causou, mas o detalhe mais instrutivo está na porta de entrada, que, ao que tudo indica, estava entreaberta, visivelmente encostada para o atacante entrar sem bater.

    Segundo a apuração jornalística, o vetor da invasão foi o simples uso de credenciais de servidores da Defesa Civil. Em um dos acessos, justamente o de maior alcance, autorizado a alertar oito estados, o login e a senha eram o mesmo CPF do servidor.

    No caso não havia autenticação em múltiplos fatores, a única verificação adicional era um “captcha” de conta matemática simples, do tipo “2+2”, que soluções automatizadas modernas contornam com facilidade. Os outros dois acessos comprometidos também usavam CPF como usuário, com senhas curtas e previsíveis, uma aparentando data de nascimento, outra a abreviação de um nome.

    Esse perfil de credencial sugere reaproveitamento de dados que já circulavam, possivelmente de vazamentos anteriores. Quando a senha é o próprio CPF que consta em incontáveis cadastros, obviamente, ela deixa de ser segredo. Vira chave deixada debaixo do tapete de um sistema capaz de disparar alertas extremos para 30 milhões de pessoas.

     

    As boas práticas que teriam evitado tudo isso

    O que mais incomoda neste caso é que as defesas ausentes eram simples, um feijão com arroz da segurança da informação, e qualquer uma delas, isoladamente, provavelmente teria barrado o ataque.

    1. Senhas que não sejam dados pessoais óbvios: CPF, nome e data de nascimento jamais podem ser usados em senhas, uma vez que são identificadores conhecidos, de fácil descoberta, que facilitam o trabalho do atacante. Sistemas críticos deveriam recusar, por política, qualquer credencial derivada desses dados.

    2. Autenticação em múltiplos fatores (MFA): Um segundo fator, como aplicativo autenticador ou token temporário teria neutralizado o vazamento das senhas.

    3. Verificação humana real e monitoramento de acesso: Um captcha trivial não substitui controle de anomalias. Um acesso de madrugada, fora de padrão, disparando alerta extremo sem evento mapeado, é um tipo de comportamento que um sistema sensível deveria sinalizar e bloquear em tempo real.

     

    Segurança como dever jurídico, não só técnico

    Convém lembrar que o art. 46 da LGPD impõe a adoção de medidas técnicas e administrativas aptas a proteger dados de acessos não autorizados, bem como o art. 6º, VII, consagra a segurança como princípio. No contexto, considerando a régua que se espera de um órgão como a Defesa Civil, credenciais derivadas de CPF e ausência de MFA dificilmente se sustentam se expostas aos deveres da Lei.

    Contudo, vale uma ponderação sobre o alcance da LGPD neste caso. O disparo em si foi feito por Cell Broadcast, com a difusão geográfica via antenas, sem lista de destinatários, sem endereçamento individual, sem consulta a base de dados de cidadãos.

    Falar em violação dos arts. 42, 44 e 46 quanto à saída da mensagem talvez seja deslocar o instituto. A arquitetura do Cell Broadcast é, ironicamente, um modelo de minimização pelo qual comunica-se em massa preservando a privacidade. A camada de dados pessoais juridicamente exposta parece estar na entrada nas credenciais comprometidas dos servidores, mas não na população alertada.

    Mas cabe fazer a ressalva que não se trata de conclusão fechada. O caso ainda está sob investigação da Polícia Federal e da Anatel, e novas informações podem alterar o cenário e o enquadramento aplicável. A distinção entre a porta de entrada e o conteúdo difundido será, provavelmente, central para definir quais normas e quais autoridades efetivamente devem ser acionadas.

    O que já se pode afirmar, contudo, independe do desfecho, é que nenhum sistema que dispara alertas a milhões de cidadãos deveria poder ser acessado com um CPF servindo de senha. A lição de higiene básica vale para o poder público e para qualquer organização que trate dados.

    Artigos relacionados

    Fale o que você pensa

    O seu endereço de e-mail não será publicado.

    Artigos populares

    Últimos Artigos