Um especialista brasileiro em segurança da informação conseguiu localizar vulnerabilidades em sistemas internos da NASA e teve seu trabalho reconhecido oficialmente pela agência espacial dos Estados Unidos. Carlos Eduardo Zambelli Aloi, de 38 anos, dedicou parte do seu tempo livre ao longo de 2025 para testar a robustez da infraestrutura digital da instituição, chegando a investir cerca de quatro horas por dia após o expediente profissional.
Ao todo, ele reportou 26 possíveis falhas de segurança. Destas, duas foram confirmadas e corrigidas pela NASA em novembro do mesmo ano. Como reconhecimento, Carlos Eduardo recebeu uma Carta de Reconhecimento assinada por Tamiko Fletcher, diretora de segurança da informação da agência, além de ter seu nome incluído no hall da fama da Bugcrowd, plataforma usada pela NASA para o gerenciamento de relatos de vulnerabilidades. Não houve pagamento financeiro, apenas o reconhecimento técnico.
Falhas permitiam acesso a dados internos da NASA
As vulnerabilidades identificadas eram consideradas críticas. Em um dos casos, o analista conseguiu acessar um documento no Google Docs com conteúdo restrito a funcionários da NASA. Para comprovar o risco, ele inseriu um link malicioso no arquivo. Segundo Carlos Eduardo, a falha poderia permitir o roubo de credenciais, como e-mails e senhas de usuários internos.
Na segunda ocorrência validada, o brasileiro encontrou uma pasta contendo informações sensíveis da infraestrutura digital da agência, incluindo endereços de IP e senhas. O objetivo, segundo ele, sempre foi demonstrar os riscos e colaborar para a correção dos problemas, dentro das regras de divulgação responsável.
Processo lento e motivação pessoal
Apesar do reconhecimento, o caminho até a validação das falhas foi longo. Carlos Eduardo relatou frustração com a demora nas respostas e com a rejeição de parte dos relatórios enviados. Em alguns casos, o retorno da NASA levou semanas. “Você investe horas testando, documenta tudo e muitas vezes a falha é descartada ou considerada sem impacto”, afirmou.
Atuando há cerca de dez anos na área de cibersegurança, ele também encontrou no desafio uma forma de lidar com o luto pela perda do pai, ocorrida em outubro de 2025. “Foi algo que me ajudou a ocupar a mente com aquilo que gosto de fazer”, contou.
Programa de divulgação de vulnerabilidades
A NASA confirmou que mantém um Programa de Divulgação de Vulnerabilidades (VDP) e utiliza a plataforma Bugcrowd para receber contribuições de pesquisadores externos. A agência informou ainda que emite cartas de reconhecimento para falhas consideradas válidas e corrigidas, mas não comentou os casos específicos por razões de segurança.
Para o especialista brasileiro, o reconhecimento tem um significado que vai além da conquista profissional. “É uma realização pessoal. Mostra que o esforço, os estudos e a dedicação à área de cibersegurança estão valendo a pena”, concluiu.
