Um suposto ataque ao sistema de alertas da Defesa Civil provocou o envio de notificações falsas para celulares de diversas cidades brasileiras entre a noite da última sexta-feira (19) e a madrugada de sábado (20), levantando preocupações sobre a segurança de infraestruturas críticas utilizadas para a proteção da população. 

De acordo com relatório emitido pelo Governo Federal e enviado à Polícia Federal (PF), os primeiros disparos foram registrados no Rio de Janeiro. Em seguida, moradores de Curitiba, Brasília, São Paulo, Salvador e outras localidades também receberam notificações classificadas como "alerta extremo", considerado o nível mais elevado do sistema de alertas da Defesa Civil. Esse tipo de mensagem é utilizado em situações de risco iminente à vida, exigindo que a população adote medidas de proteção imediatas.

No caso do Rio de Janeiro, a mensagem fazia referência a uma suposta possibilidade de deslizamentos de terra, informação especialmente sensível em uma região historicamente afetada por tragédias relacionadas a chuvas intensas.

Além do alerta falso sobre deslizamentos, também circularam mensagens mencionando uma suposta possibilidade de tornado na região de Belo Horizonte (MG) e outros avisos sem fundamento. Os textos apresentavam frases desconexas, campos corrompidos e expressões incomuns, incluindo referências a um suposto "ataque alienígena".

Outro detalhe que chamou a atenção foi a repetição da palavra "misantropia" em diferentes mensagens, funcionando como uma espécie de assinatura deixada pelos responsáveis. O termo é utilizado para descrever pessoas que manifestam aversão, desconfiança ou repulsa em relação à humanidade e à convivência social.

O caso está sendo investigado pela Defesa Civil Nacional em conjunto com a Agência Nacional de Telecomunicações (Anatel). A suspeita é de que o incidente tenha envolvido o acesso indevido ao Interface de Divulgação de Alertas Públicos (Idap), plataforma utilizada pelo Ministério da Integração e do Desenvolvimento Regional (MIDR), com suporte da Defesa Civil Nacional, para o envio de alertas relacionados a riscos de desastres naturais e outras emergências.

Figura 1. Comunicado emitido pela Defesa Civil. Fonte: X (Antigo Twitter).

Suposto autor reivindica ataque

Nas primeiras horas após o incidente, o usuário identificado como "Misantropo" (@mizantropiaz), na rede social X, publicou imagens e um vídeo assumindo a autoria das mensagens. O material divulgado sugere o uso de uma plataforma governamental para o disparo dos alertas.

Figura 2. Perfil no X diz ter realizado o envio das mensagens. Fonte: X (Antigo Twitter).

Em entrevista ao portal TecMundo, o suposto invasor afirmou ter utilizado credenciais antigas do Idap que teriam sido expostas em vazamentos anteriores. Segundo seu relato, o acesso teria sido obtido por meio da técnica conhecida como credential stuffing, que consiste na reutilização automatizada de combinações de usuários e senhas previamente comprometidas em outros incidentes.

Embora a autoria e os detalhes da invasão ainda estejam sob investigação, o episódio reforça a importância da adoção de mecanismos robustos de autenticação, monitoramento contínuo e revisão periódica de credenciais em sistemas considerados críticos para a segurança pública.

Defesa Civil de São Paulo desabilita ferramenta

Em nota oficial, a Defesa Civil do Estado de São Paulo informou que a mensagem recebida pela população não foi emitida pelo órgão e que iniciou imediatamente procedimentos de verificação junto à Defesa Civil Nacional, à Anatel e demais instituições envolvidas na operação do sistema.

Figura 3. Comunicado emitido pela Defesa Civil de São Paulo. Fonte: Instagram.

"Até o momento, não há registro de ocorrência que justifique a emissão de alerta extremo relacionado ao conteúdo reportado", afirmou o órgão.

Como medida preventiva, a ferramenta de envio de alertas foi temporariamente desabilitada até que a origem das mensagens seja esclarecida.

Alerta para a proteção de sistemas críticos

Jonathan Ramos, pesquisador de segurança na ESET Brasil, aponta que o incidente evidencia os riscos associados à proteção de sistemas governamentais responsáveis por serviços essenciais. "Incidentes cibernéticos em plataformas de infraestrutura crítica, a exemplo do ocorrido no sistema Defesa Civil Alerta, expõem vulnerabilidades que transcendem a esfera puramente tecnológica, evidenciando falhas severas em políticas e procedimentos de segurança", destaca.

Nosso especialista também comenta que o uso de credenciais supostamente vazadas reforça a urgência de práticas fundamentais de governança, como a aplicação do princípio do privilégio mínimo, a obrigatoriedade da autenticação multifator (MFA) e a rotação periódica de senhas. "Além disso, para sistemas de alto impacto social, torna-se indispensável a implementação do princípio do duplo comando (Four-Eyes Principle). Adicionar essa camada de dupla validação antes de qualquer disparo em massa mitiga o risco de ações isoladas, sejam maliciosas ou acidentais, impedindo que falsos alertas gerem pânico e desinformação, e, acima de tudo, preservando a confiança da população nos mecanismos legítimos de proteção do Estado", explica.

O resultado da investigação deverá esclarecer se houve efetivamente uma invasão aos sistemas da Defesa Civil ou se o incidente foi provocado pela utilização indevida de credenciais válidas obtidas em vazamentos anteriores.