Siga o Olhar Digital no Google Discover
Um analista brasileiro de segurança digital conseguiu identificar falhas em sistemas internos da NASA e foi oficialmente reconhecido pela agência espacial norte-americana. Carlos Eduardo Zambelli Aloi, de 38 anos, dedicou cerca de quatro horas diárias, após seu expediente, para testar a segurança da infraestrutura digital da NASA ao longo de 2025, em um esforço solitário que ele descreve, em entrevista ao g1, como “frustrante” devido à demora nas respostas.
Das 26 vulnerabilidades que reportou, apenas duas foram validadas e corrigidas pela NASA em novembro daquele ano, rendendo-lhe uma “Carta de Reconhecimento” assinada pela diretora de segurança da informação, Tamiko Fletcher. O brasileiro integra agora o hall da fama da plataforma Bugcrowd, usada pela agência para gerenciar relatos de falhas. Não houve recompensa financeira — apenas o reconhecimento técnico.
Como o brasileiro descobriu as falhas da NASA?
As falhas exploradas eram graves. Em uma delas, Carlos Eduardo acessou um documento no Google Docs contendo um artigo científico restrito a funcionários, no qual inseriu um link malicioso para demonstrar o risco. “Se quisesse, poderia roubar credenciais, como e-mails e senhas, de pessoas da NASA”, relatou ao site. Na segunda vulnerabilidade, ele encontrou uma pasta com dados sensíveis da infraestrutura interna, incluindo senhas e endereços de IP.
Leia Mais:
O processo de reporte foi marcado pela lentidão. “Você passa muito tempo testando, monta o relatório, envia e ele não é aceito ou a falha é considerada sem impacto. É frustrante ficar horas trabalhando e não receber retorno”, desabafou. Em alguns casos, o feedback da NASA demorou semanas.
Carlos Eduardo, que atua há uma década em cibersegurança, encarou o desafio também como uma forma de superar o luto pela morte do pai, em outubro de 2025. “Eu me apoiei nisso para distrair a cabeça, porque é uma coisa que eu gosto de fazer”, confessou.
A NASA, por meio de sua política de divulgação de vulnerabilidades (VDP), confirmou o uso da Bugcrowd para receber relatórios externos e a emissão de cartas para falhas validadas e corrigidas. Em nota, a agência optou por não comentar os casos específicos por “questões de segurança”, mas reafirmou seu programa aberto a pesquisadores de todo o mundo.
Para Carlos Eduardo, o reconhecimento vai além do aspecto técnico: “É uma conquista pessoal […] Isso reforça que meus estudos e o trabalho que venho fazendo na área estão dando resultado”.
Veja a íntegra da Carta recebida por Carlos Eduardo e divulgada nas redes sociais:
“Administração Nacional da Aeronáutica e do Espaço
Sede da NASA Mary W. Jackson
Washington, DC 20546-0001
Prezado Kazam,
Em nome da Administração Nacional da Aeronáutica e do Espaço e da Política de Divulgação de Vulnerabilidades (VDP) da NASA, gostaríamos de reconhecer seus esforços como pesquisador independente de segurança, tanto na identificação da vulnerabilidade que você submeteu quanto no cumprimento da política e das diretrizes da VDP da NASA ao reportá-la de forma responsável.
A capacidade de detectar e relatar vulnerabilidades de segurança é uma habilidade valiosa na indústria de segurança da informação. Seu relatório contribuiu para ampliar a conscientização da NASA sobre vulnerabilidades que, de outra forma, poderiam permanecer desconhecidas, e nos ajudou a proteger a integridade e a disponibilidade das informações da NASA.
Por favor, aceite esta carta como um sinal de nossa apreciação por seus esforços na detecção dessa vulnerabilidade, contribuindo para que a NASA possa continuar avançando nas áreas de ciência, tecnologia, aeronáutica e exploração espacial, com o objetivo de ampliar o conhecimento, a educação, a inovação, a vitalidade econômica e a preservação da Terra. Estamos todos juntos nisso como uma comunidade de segurança, e sua participação e expertise são dignas de reconhecimento.
Atenciosamente,
Tamiko Fletcher
Atuante como Diretora Sênior de Segurança da Informação da Agência (SAISO)
Escritório do Diretor de Informação da NASA (OCIO)
Política de Divulgação de Vulnerabilidades da NASA (VDP)
22 de dezembro de 2025″
