O brasileiro Carlos Eduardo Zambelli Aloi, de 38 anos, foi reconhecido oficialmente pela Nasa após identificar falhas de segurança nos sistemas da agência espacial dos Estados Unidos. Após seis meses de testes, dois dos 26 relatórios enviados por ele foram aceitos, resultando em uma carta de agradecimento assinada pela diretora de segurança da informação da entidade.
Aloi, que atua há mais de 20 anos na área de tecnologia, dedicava até cinco horas por dia ao desafio, fora do horário de trabalho. Em um dos testes, acessou e editou um documento reservado da agência no Google Docs. Em outro, chegou a diretórios internos com dados sensíveis, como senhas e endereços de IP.
Sem pagamento, mas com prestígio
O reconhecimento não envolveu recompensa financeira, apenas uma carta oficial da Nasa, prática prevista no programa Vulnerability Disclosure Policy. O documento elogia a “contribuição à segurança e integridade da agência” e menciona a importância da atuação ética de pesquisadores externos.
Carlos Eduardo, que vive em São Paulo e usa o apelido “Kazam” em plataformas da área, também foi incluído no hall da fama da Bugcrowd, plataforma utilizada pela Nasa para receber notificações de falhas.
Como foi a invasão ética
-
Primeira falha: acesso a artigo científico reservado com permissão de edição
-
Segunda falha: acesso a diretórios internos com credenciais e repositórios
-
Método: exploração progressiva de brechas em pastas e diretórios expostos
-
Tempo de resposta: agência demorou semanas para validar os relatórios
Além de Carlos, outros dois brasileiros também foram reconhecidos pela Nasa, mas não tiveram os nomes divulgados.
