Pular para o conteúdo principal
Fechar
Segurança

Dígitro: O Vazamento Que Expôs o Blueprint da Vigilância Estatal

Gabriel Ferraresi· CEO | Tech8628 de junho de 20265 min
segurancavazamentointerceptacao-legaldigitrosoberania

A Dígitro chama de "escopo aparentemente limitado". O CTIR Gov chama de ataque que "atinge o núcleo tecnológico da empresa". Um desses dois está errado — e os dados favorecem o CTIR Gov. Em 8 de abril de 2026, 3,39 TB vazaram no DDoSecrets: bancos de dados, código-fonte e arquivos internos da empresa que constrói o Guardião, a plataforma de interceptação legal de voz, dados e WhatsApp usada nos 27 estados brasileiros. Nós analisamos o caso e o sinal é claro: o blueprint da vigilância estatal está na internet, e a empresa que o construiu trata o fato como detalhe.

A escala do vazamento: 3,39 TB e o blueprint da vigilância

Os números são os que assustam. Segundo o CTIR Gov, 3,39 TB de dados vazaram em 8 de abril de 2026 no DDoSecrets — bancos de dados, código-fonte e arquivos internos da Dígitro. A empresa desenvolve o Guardião, plataforma de interceptação legal de voz, dados e WhatsApp, presente nos 27 estados e em 150+ instituições governamentais, segundo o CTIR Gov. A Dígitro alega que "9 em cada 10 órgãos de segurança" usam a plataforma — dado autorreferido, sem verificação independente.

A Dígitro é Empresa Estratégica de Defesa, certificada pelo Ministério da Defesa. Ou seja, o vazamento não atinge uma empresa qualquer — atinge um elo da supply chain de segurança nacional. Quando o código-fonte de uma plataforma de interceptação legal vira público, não é mais uma falha corporativa. É uma falha de soberania. O atacante não precisa explorar um zero-day; basta ler o código.

O que o código-fonte exposto permite — e por que importa

Segundo o CTIR Gov, a exposição do código-fonte do Guardião permite análise white-box da arquitetura de interceptação, identificação de backdoors, desenvolvimento de contramedidas para evadir interceptações legais e criação de exploits direcionados contra as 150+ instituições que usam a plataforma. Qualquer ator com interesse em burlar interceptação tem agora 3,39 TB para estudar — não por horas, mas indefinidamente.

Há uma consequência jurídica mais sutil e talvez mais grave. Advogados de defesa podem contestar a integridade de qualquer evidência produzida pelo Guardião. Se o código-fonte está público, não há como provar que a versão que gerou a evidência era a mesma que estava em produção — ou que não continha backdoors. Cada processo que depende de interceptação legal fica sujeito a questionamento. O vazamento não compromete apenas a tecnologia; compromete a cadeia de evidências que sustenta processos criminais em todo o país.

CVE-2025-4528: quando dois scores divergem

Os CVEs divulgados afetam o NGC Explorer — a interface administrativa —, não o Guardião ou o UNA. CVE-2025-4528 recebeu 9.8 Crítico no NIST v3.1 e 5.3 Médio no CVSS v4.0. Ambos os scores importam. Segundo o NIST, a severidade é crítica; segundo o CVSS v4.0, é média. A divergência não é acadêmica — define prioridade de patcheamento e alocação de recursos de resposta. Uma equipe que olha apenas o CVSS v4.0 pode tratar o CVE como médio; uma que olha o NIST v3.1 trata como crítico. Em infraestrutura de interceptação legal, a prudência manda tratar como crítico.

As vulnerabilidades foram corrigidas na versão 3.48.22. Mas segundo a VulDB, a Dígitro "não respondeu de forma alguma" à divulgação das vulnerabilidades. Silêncio não é resposta. Quando um fornecedor de interceptação legal ignora disclosure coordenado, o problema não é apenas técnico — é de governança. Quem não responde a disclosure não merece confiança para gerar evidências.

7 semanas de silêncio e "backups pré-2022"

Levaram 7 semanas para a Dígitro emitir um comunicado público. A empresa afirmou que o vazamento envolvia "backups pré-2022". Nenhuma evidência foi apresentada de que sistemas de produção não foram comprometidos. "Backups pré-2022" é uma afirmação, não uma prova.

Nós já vimos esse padrão antes. Quando uma empresa diz que apenas backups antigos foram afetados, mas não permite auditoria independente, a afirmação não tem peso. Em segurança, a ausência de evidência não é evidência de ausência — especialmente quando o atacante teve acesso a 3,39 TB. A Dígitro é Empresa Estratégica de Defesa. O padrão de transparência deveria ser maior, não menor. Sete semanas de silêncio em um vazamento de código-fonte de interceptação legal não é resposta — é evasão.

Mesma semana, mesma doença

O vazamento da Dígitro não ocorreu no vácuo. Na mesma semana, vimos a Defesa Civil usar CPF como senha — inalterada há 10 anos, sem MFA. O FortiBleed expôs 309 credenciais em governo e judiciário. O TCU determinou revisão de contrato AWS por soberania de dados. Incidentes distintos, mesma doença: higiene de credenciais deficiente, falta de MFA, soberania de dados tratada como questão secundária.

O padrão é estrutural. Não é uma empresa negligente — é um ecossistema onde a segurança é reativa, não preventiva. Quando o blueprint da vigilância estatal vaza e a resposta é "escopo aparentemente limitado", o problema não é o vazamento. É a cultura que o permitiu.

Conclusão

O blueprint da vigilância estatal está na internet. A empresa que o construiu diz que é pouco. O órgão que monitora ameaças diz que atingiu o núcleo. Enquanto esses dois discutem, qualquer ator com interesse em evadir interceptação tem 3,39 TB para estudar. Nós, na Tech86, ajudamos instituições a auditar infraestrutura crítica, rotacionar credenciais comprometidas e revisar a integridade de sistemas que sustentam evidências. Antes que o próximo vazamento exponha o que deveria ser soberano.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Consultoria de Segurança para Infraestrutura Crítica

Perguntas Frequentes

Segundo o CTIR Gov, 3,39 TB de dados vazaram em 8 de abril de 2026 no DDoSecrets — bancos de dados, código-fonte e arquivos internos da Dígitro. A empresa desenvolve o Guardião, plataforma de interceptação legal de voz, dados e WhatsApp, presente nos 27 estados e em 150+ instituições governamentais. A Dígitro alega que "9 em cada 10 órgãos de segurança" usam a plataforma — dado autorreferido, sem verificação independente.

Segundo o CTIR Gov, a exposição do código-fonte permite análise white-box, identificação de backdoors e desenvolvimento de contramedidas para evadir interceptações. Advogados de defesa podem contestar a integridade de qualquer evidência produzida pelo Guardião: se o código é público, não há como provar que a versão em produção era a mesma que gerou a evidência. O vazamento compromete não apenas a tecnologia, mas a cadeia de evidências.

CVE-2025-4528 afeta o NGC Explorer, a interface administrativa — não o Guardião ou o UNA. Segundo o NIST, o score é 9.8 Crítico (NIST v3.1); segundo o CVSS v4.0, é 5.3 Médio. Ambos importam porque definem prioridade de patcheamento. A vulnerabilidade foi corrigida na versão 3.48.22, mas segundo a VulDB, a Dígitro "não respondeu de forma alguma" à divulgação.

O vazamento ocorreu na mesma semana em que a Defesa Civil usou CPF como senha há 10 anos sem MFA, o FortiBleed expôs 309 credenciais em governo e judiciário, e o TCU determinou revisão de contrato AWS por soberania de dados. Incidentes distintos, mesma doença: higiene de credenciais deficiente, falta de MFA e soberania de dados tratada como questão secundária.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.