Carlos Eduardo Zambelli Aloi, um profissional de segurança da informação de 38 anos, passou seis meses em 2025 explorando vulnerabilidades nos sistemas da NASA. Ele descreveu essa experiência como “frustrante e irritante”, já que suas descobertas nem sempre eram aceitas pela agência.
Durante seu trabalho, Carlos identificou 26 falhas de segurança, das quais duas foram reconhecidas oficialmente pela NASA em novembro de 2025. Em uma das vulnerabilidades, ele conseguiu acessar um documento no Google Docs que continha um artigo científico restrito a funcionários da agência. Em outra, obteve informações sensíveis, incluindo senhas.
Reconhecimento e carta de agradecimento
Como resultado de suas investigações, Carlos recebeu uma carta de agradecimento da diretora de segurança da informação da NASA, Tamiko Fletcher. Ele destacou que o reconhecimento não incluiu qualquer tipo de recompensa financeira, mas considerou a conquista significativa para sua carreira.
“Para mim, isso é uma realização pessoal, uma maneira de testar minhas habilidades e confirmar que estou no caminho certo”, comentou Carlos ao g1.
A resposta da NASA e outros brasileiros
A NASA não se manifestou sobre as descobertas de Carlos por motivos de segurança, mas informou que possui um programa para que pesquisadores externos possam relatar falhas de maneira responsável. Além de Carlos, outros dois brasileiros também foram reconhecidos pela agência, de acordo com informações da plataforma Bugcrowd, que a NASA utiliza para receber relatórios sobre vulnerabilidades.
O g1 não conseguiu contato com esses outros profissionais até o fechamento desta matéria.
Seis meses de trabalho árduo
Carlos iniciou suas buscas no meio do ano passado, dedicando de três a quatro horas diárias, geralmente entre 21h e 2h da manhã, após o trabalho e as aulas de pós-graduação em cibersegurança ofensiva. No primeiro teste, ele acessou diretórios restritos e conseguiu manipular identificadores de login para baixar documentos internos.
Ele relatou que, em um dos testes, teve acesso a um estudo sobre vento solar e eventos magnéticos, onde inseriu um link para um site falso, o que poderia permitir o roubo de credenciais de funcionários da NASA.
Desafios enfrentados durante as investigações
Carlos também encontrou uma pasta restrita que continha dados internos, incluindo credenciais de acesso e endereços de IP da agência. Ele empregou técnicas de reconhecimento e enumeração para identificar diretórios que deveriam permanecer invisíveis. A exploração dessas brechas levou-o a informações sensíveis dentro da infraestrutura da NASA.
Carlos expressou frustração com a demora nas respostas da NASA. Ele comentou que, após enviar seu relatório, muitas vezes as falhas eram consideradas sem impacto e o feedback demorava semanas.
Evidências e divulgação
O g1 teve acesso a algumas das evidências coletadas por Carlos, mas a liberação do material depende da autorização da NASA. O brasileiro solicitou essa autorização, mas não obteve resposta até a publicação desta reportagem.
Perguntas frequentes
Quem é Carlos Eduardo Zambelli Aloi? Ele é um profissional de segurança da informação brasileiro que descobriu falhas nos sistemas da NASA.
Quantas falhas Carlos identificou? Carlos encontrou 26 falhas de segurança, das quais duas foram reconhecidas pela NASA.
O que ele recebeu como reconhecimento? Carlos recebeu uma carta de agradecimento da diretora de segurança da informação da NASA, mas não uma recompensa financeira.
Quantas horas por dia Carlos trabalhou nas investigações? Ele dedicou de três a quatro horas diariamente entre 21h e 2h da manhã.
A NASA comentou sobre as descobertas de Carlos? A NASA não se manifestou sobre as descobertas devido a questões de segurança.
Fonte: https://g1.globo.com
