Milhares de brasileiros em diversos estados foram surpreendidos na madrugada de sábado (20) por um alerta extremo contendo a palavra “misantropia”, enviado de forma indevida através do sistema nacional de notificações da Defesa Civil. O incidente, que utilizou um recurso que interrompe o uso do celular para exibir mensagens emergenciais, rapidamente provocou grande repercussão nas redes sociais e motivou a abertura de apurações pelos órgãos responsáveis.
O suposto responsável pela ação, que se identifica nas redes sociais pelo perfil Misantropo (@mizantropiaz), concedeu entrevista à TecMundo e detalhou o método utilizado. Ele afirmou ter acessado a plataforma da Interface de Divulgação de Alertas Públicos (Idap) por meio de credenciais vazadas de servidores públicos que, segundo ele, permaneciam válidas. O sistema Idap é projetado para permitir que órgãos autorizados emitam notificações por diferentes canais, incluindo o Defesa Civil Alerta.
Em entrevista, Misantropo confirmou que utilizou credenciais antigas e vazadas do Idap, destacando a falta de atualização de senhas por parte dos funcionários. “Sim, usei credenciais vazadas antigas do IDAP. Nenhum dos funcionários que eu tentei acesso trocou a senha em anos”, afirmou. Ele também revelou uma falha de segurança primária: “A principal coisa que me impressionou, além disso, foi que o teste de segurança deles para saber se eu não era um robô era uma conta de matemática simples – como contas de 2+2, 5+5 e etc.”. O método descrito, conhecido como “credential stuffing”, envolve o uso de dados previamente expostos em vazamentos para obter acesso a sistemas, e foi facilitado pela ausência de mecanismos adicionais de autenticação, como a verificação em duas etapas.
As credenciais teriam sido encontradas em “Sites que listam vazamentos de dados como intelx.io e grupos no Telegram”, conforme revelado por Misantropo, que alertou para a facilidade de encontrar esses logins. Ele ainda alegou ter utilizado mais de uma credencial para realizar os disparos, explicando que cada acesso possuía autorização para áreas distintas da plataforma, o que justificaria o amplo alcance dos alertas em diferentes regiões do país. Além do incidente com o Idap, Misantropo declarou ter acessado outros sistemas governamentais, como SIPNI (Sistema de Informações do Programa Nacional de Imunizações), CADSUS (Cadastro Nacional de Saúde) e SISREGIII (Sistema de Regulação III), utilizando a mesma metodologia de credenciais vazadas. Ele também mencionou a participação de integrantes de um grupo identificado como “hadmage”.
Questionado sobre a motivação, Misantropo afirmou que a ação foi resultado de “tédio e antipatia após o fim do jogo do Brasil” (referindo-se a uma partida da Copa do Mundo de 2026 entre Brasil e Haiti), em um momento de celebração popular. Ele expressou insatisfação com “a maldade humana” e disse que, ao usar o termo “misantropia” – que define aversão ou desprezo pela humanidade –, esperava que as pessoas pesquisassem seu significado, o que de fato ocorreu, tornando a palavra um dos assuntos mais buscados. Sobre as consequências legais, ele se disse ciente da gravidade, mas avaliou que a identificação dos responsáveis pode ser difícil. A Polícia Federal informou que o caso está sob investigação, sem fornecer detalhes. A Anatel, por sua vez, declarou que seus sistemas não foram comprometidos, atribuindo o incidente à plataforma Idap. O levantamento inicial indicou que os alertas não autorizados atingiram localidades em estados como São Paulo, Paraná, Rio de Janeiro e Mato Grosso do Sul, além do Distrito Federal.
