O Ministério da Integração e Desenvolvimento Regional (MIDR) traçou um plano com três etapas para proteger o sistema de Divulgação de Alertas Públicos (Idap) de novos ataques cibernéticos. A medida ocorre após a plataforma oficial disseminar alertas falsos com a palavra “misantropia” (ódio à humanidade) a milhares de pessoas em pelo menos sete Estados.
Entre as correções propostas, estão a restrição do acesso apenas por meio da rede do MIDR e autenticação de duplo fator; uso obrigatório de VPN (Rede Privada Virtual) pelas Defesas Civis dos Estados e a implementação de uma nova plataforma, que deve ficar pronta até o fim de julho.
As informações constam de um documento elaborado pela diretoria de Tecnologia da Informação do Ministério que foi protocolado nesta quinta-feira.
“Com todas as melhorias apresentadas, essa Diretoria acredita que invasões ao sistema não se repetirão, erros humanos serão mitigados e alertas serão enviados de forma segura”, diz o texto.
A primeira etapa, que consistiu no bloqueio do sistema fora da rede do ministério, já foi concluída. Os usuários também passaram a ser obrigados a autenticar os seus cadastros pelo gov.br – o que impediu “acessos indevidos de hackers por meio de credenciais vazadas na deepweb”, segundo o texto.
Já a segunda etapa visa o acesso estadual à plataforma. A proposta é alterar todas as senhas de acesso à VPN e exigir o duplo fator de autenticação – quando o usuário precisa colocar um código enviado ao seu celular para entrar no sistema, além de fazer o login. Esta fase ainda está “em andamento”, segundo o documento.
“Dessa forma, vamos reduzir a significativamente a quantidade de pessoas que podem encontrar o sistema na internet, restringindo a apenas Defesas Civis com VPNs instaladas e usuários previamente cadastrados em nossa rede”, diz o texto.
O ataque hacker que gerou os alertas falsos ocorreu justamente por meio do vazamento de duas credenciais de integrantes da Defesa Civil do Pará. O caso está sendo investigado por uma equipe especializada em crimes cibernéticos da Polícia Federal.
A terceira etapa, por sua vez, deve implementar uma nova plataforma chamada de “Idap 2.0”, que tem previsão de ser lançada até o fim de julho. Esse novo sistema irá limitar a “edição livre” das mensagens dos alertas, reduzindo, assim, o risco de “conteúdo impróprio, manipulação textual ou tentativa de burlar filtros de segurança”.
“A nova versão deverá incorporar aprimoramentos estruturais de segurança, arquitetura atualizada, maior controle de acessos, melhor rastreabilidade das operações e restrições adicionais sobre funcionalidades sensíveis”, completou o documento.
Relembre o caso
Segundo informações do Ministério, houve “acesso indevido” à Interface de Divulgação de Alertas Públicos, a IDAP, plataforma usada para disseminar avisos oficiais à população em situações de risco.
Os primeiros alertas foram registrados às 23h41 e 23h45 do dia 19 de junho. Os alertas falsos foram cadastrados em categorias como alagamentos, tornados e deslizamentos. As mensagens acabaram direcionadas às cidades de São Paulo, Rio de Janeiro, Salvador, Belo Horizonte, Curitiba e Rio Branco, além de outros locais dos estados de São Paulo, Rio de Janeiro e Mato Grosso do Sul e do Distrito Federal.
A maior parte das mensagens trazia a palavra “misantropia” ou variações. A palavra é usada para definir aversão, desprezo ou até mesmo ódio à Humanidade.
Fonte: O Globo
