Um analista brasileiro de segurança digital, Carlos Eduardo Zambelli Aloi, de 38 anos, alcançou um feito impressionante: ele encontrou falhas sérias nos sistemas internos da agência espacial americana, a NASA. O esforço foi tanto que a própria NASA o reconheceu oficialmente por sua contribuição para a segurança digital.
Carlos Eduardo dedicou cerca de quatro horas diárias, todos os dias, depois do seu trabalho, para investigar a segurança da infraestrutura digital da NASA ao longo de 2025. Ele contou ao g1 que essa jornada foi solitária e, muitas vezes, “frustrante” por causa da demora nas respostas da agência.
Como o analista brasileiro descobriu os problemas na NASA?
As vulnerabilidades que Carlos Eduardo descobriu eram bem graves. Ele conseguiu acessar um documento no Google Docs que era restrito aos funcionários da NASA. Para provar o risco, ele colocou um link malicioso lá dentro. “Se quisesse, poderia roubar informações importantes, como e-mails e senhas, de pessoas da NASA”, explicou ele sobre a gravidade da situação.
Em outra falha, o analista encontrou uma pasta com dados muito sensíveis da infraestrutura interna da agência, incluindo senhas e endereços de IP. No total, ele avisou sobre 26 problemas, mas apenas duas dessas vulnerabilidades foram confirmadas e consertadas pela NASA em novembro do mesmo ano.
O reconhecimento e a superação pessoal
Pelo seu trabalho, Carlos Eduardo recebeu uma “Carta de Reconhecimento” assinada por Tamiko Fletcher, a diretora de segurança da informação da NASA. Além disso, ele agora faz parte da lista de honra da plataforma Bugcrowd, um sistema que a agência usa para gerenciar avisos de falhas. É importante dizer que não houve dinheiro envolvido, apenas o reconhecimento técnico pelo seu talento.
O processo de avisar sobre as falhas foi demorado, o que gerou muita chateação. “Você passa muito tempo testando, monta o relatório, envia e ele não é aceito ou a falha é considerada sem impacto. É frustrante ficar horas trabalhando e não receber retorno”, desabafou Carlos Eduardo. Em alguns casos, a resposta da NASA levava semanas para chegar.
Carlos Eduardo, que trabalha há dez anos na área de segurança digital, também encontrou no desafio uma forma de lidar com a perda do pai, que faleceu em outubro de 2025. “Eu me apoiei nisso para distrair a cabeça, porque é uma coisa que eu gosto de fazer”, confessou.
A NASA, por sua vez, por meio do seu programa de segurança que recebe avisos sobre falhas (VDP), confirmou que usa a Bugcrowd para receber relatórios de pesquisadores externos e que envia cartas de reconhecimento para os problemas que são confirmados e corrigidos. Em nota, a agência não falou sobre os casos específicos por motivos de segurança, mas reforçou que seu programa está aberto para pesquisadores do mundo inteiro.
Para Carlos Eduardo, o reconhecimento vai muito além da parte técnica: “É uma conquista pessoal [...] Isso reforça que meus estudos e o trabalho que venho fazendo na área estão dando resultado.”
Confira a carta de reconhecimento da NASA:
Administração Nacional da Aeronáutica e do Espaço
Sede da NASA Mary W. Jackson
Washington, DC 20546-0001
Prezado Kazam,
Em nome da Administração Nacional da Aeronáutica e do Espaço e da Política de Divulgação de Vulnerabilidades (VDP) da NASA, gostaríamos de reconhecer seus esforços como pesquisador independente de segurança, tanto na identificação da vulnerabilidade que você submeteu quanto no cumprimento da política e das diretrizes da VDP da NASA ao reportá-la de forma responsável.
A capacidade de detectar e relatar vulnerabilidades de segurança é uma habilidade valiosa na indústria de segurança da informação. Seu relatório contribuiu para ampliar a conscientização da NASA sobre vulnerabilidades que, de outra forma, poderiam permanecer desconhecidas, e nos ajudou a proteger a integridade e a disponibilidade das informações da NASA.
Por favor, aceite esta carta como um sinal de nossa apreciação por seus esforços na detecção dessa vulnerabilidade, contribuindo para que a NASA possa continuar avançando nas áreas de ciência, tecnologia, aeronáutica e exploração espacial, com o objetivo de ampliar o conhecimento, a educação, a inovação, a vitalidade econômica e a preservação da Terra. Estamos todos juntos nisso como uma comunidade de segurança, e sua participação e expertise são dignas de reconhecimento.
Atenciosamente,
Tamiko Fletcher
Atuante como Diretora Sênior de Segurança da Informação da Agência (SAISO)
Escritório do Diretor de Informação da NASA (OCIO)
Política de Divulgação de Vulnerabilidades da NASA (VDP)
22 de dezembro de 2025
