A Dígitro chama de "escopo aparentemente limitado". O CTIR Gov chama de ataque que "atinge o núcleo tecnológico da empresa". Um desses dois está errado — e os dados favorecem o CTIR Gov. Em 8 de abril de 2026, 3,39 TB vazaram no DDoSecrets: bancos de dados, código-fonte e arquivos internos da empresa que constrói o Guardião, a plataforma de interceptação legal de voz, dados e WhatsApp usada nos 27 estados brasileiros. Nós analisamos o caso e o sinal é claro: o blueprint da vigilância estatal está na internet, e a empresa que o construiu trata o fato como detalhe.
A escala do vazamento: 3,39 TB e o blueprint da vigilância
Os números são os que assustam. Segundo o CTIR Gov, 3,39 TB de dados vazaram em 8 de abril de 2026 no DDoSecrets — bancos de dados, código-fonte e arquivos internos da Dígitro. A empresa desenvolve o Guardião, plataforma de interceptação legal de voz, dados e WhatsApp, presente nos 27 estados e em 150+ instituições governamentais, segundo o CTIR Gov. A Dígitro alega que "9 em cada 10 órgãos de segurança" usam a plataforma — dado autorreferido, sem verificação independente.
A Dígitro é Empresa Estratégica de Defesa, certificada pelo Ministério da Defesa. Ou seja, o vazamento não atinge uma empresa qualquer — atinge um elo da supply chain de segurança nacional. Quando o código-fonte de uma plataforma de interceptação legal vira público, não é mais uma falha corporativa. É uma falha de soberania. O atacante não precisa explorar um zero-day; basta ler o código.
O que o código-fonte exposto permite — e por que importa
Segundo o CTIR Gov, a exposição do código-fonte do Guardião permite análise white-box da arquitetura de interceptação, identificação de backdoors, desenvolvimento de contramedidas para evadir interceptações legais e criação de exploits direcionados contra as 150+ instituições que usam a plataforma. Qualquer ator com interesse em burlar interceptação tem agora 3,39 TB para estudar — não por horas, mas indefinidamente.
Há uma consequência jurídica mais sutil e talvez mais grave. Advogados de defesa podem contestar a integridade de qualquer evidência produzida pelo Guardião. Se o código-fonte está público, não há como provar que a versão que gerou a evidência era a mesma que estava em produção — ou que não continha backdoors. Cada processo que depende de interceptação legal fica sujeito a questionamento. O vazamento não compromete apenas a tecnologia; compromete a cadeia de evidências que sustenta processos criminais em todo o país.
CVE-2025-4528: quando dois scores divergem
Os CVEs divulgados afetam o NGC Explorer — a interface administrativa —, não o Guardião ou o UNA. CVE-2025-4528 recebeu 9.8 Crítico no NIST v3.1 e 5.3 Médio no CVSS v4.0. Ambos os scores importam. Segundo o NIST, a severidade é crítica; segundo o CVSS v4.0, é média. A divergência não é acadêmica — define prioridade de patcheamento e alocação de recursos de resposta. Uma equipe que olha apenas o CVSS v4.0 pode tratar o CVE como médio; uma que olha o NIST v3.1 trata como crítico. Em infraestrutura de interceptação legal, a prudência manda tratar como crítico.
As vulnerabilidades foram corrigidas na versão 3.48.22. Mas segundo a VulDB, a Dígitro "não respondeu de forma alguma" à divulgação das vulnerabilidades. Silêncio não é resposta. Quando um fornecedor de interceptação legal ignora disclosure coordenado, o problema não é apenas técnico — é de governança. Quem não responde a disclosure não merece confiança para gerar evidências.
7 semanas de silêncio e "backups pré-2022"
Levaram 7 semanas para a Dígitro emitir um comunicado público. A empresa afirmou que o vazamento envolvia "backups pré-2022". Nenhuma evidência foi apresentada de que sistemas de produção não foram comprometidos. "Backups pré-2022" é uma afirmação, não uma prova.
Nós já vimos esse padrão antes. Quando uma empresa diz que apenas backups antigos foram afetados, mas não permite auditoria independente, a afirmação não tem peso. Em segurança, a ausência de evidência não é evidência de ausência — especialmente quando o atacante teve acesso a 3,39 TB. A Dígitro é Empresa Estratégica de Defesa. O padrão de transparência deveria ser maior, não menor. Sete semanas de silêncio em um vazamento de código-fonte de interceptação legal não é resposta — é evasão.
Mesma semana, mesma doença
O vazamento da Dígitro não ocorreu no vácuo. Na mesma semana, vimos a Defesa Civil usar CPF como senha — inalterada há 10 anos, sem MFA. O FortiBleed expôs 309 credenciais em governo e judiciário. O TCU determinou revisão de contrato AWS por soberania de dados. Incidentes distintos, mesma doença: higiene de credenciais deficiente, falta de MFA, soberania de dados tratada como questão secundária.
O padrão é estrutural. Não é uma empresa negligente — é um ecossistema onde a segurança é reativa, não preventiva. Quando o blueprint da vigilância estatal vaza e a resposta é "escopo aparentemente limitado", o problema não é o vazamento. É a cultura que o permitiu.
Conclusão
O blueprint da vigilância estatal está na internet. A empresa que o construiu diz que é pouco. O órgão que monitora ameaças diz que atingiu o núcleo. Enquanto esses dois discutem, qualquer ator com interesse em evadir interceptação tem 3,39 TB para estudar. Nós, na Tech86, ajudamos instituições a auditar infraestrutura crítica, rotacionar credenciais comprometidas e revisar a integridade de sistemas que sustentam evidências. Antes que o próximo vazamento exponha o que deveria ser soberano.