Um único fornecedor comprometido expôs a arquitetura de sistemas usados por mais de 150 órgãos públicos. No mundo corporativo, o mecanismo do risco é exatamente o mesmo, só muda o nome da vítima.
O CTIR Gov classificou como crítico o vazamento de 3,39 terabytes de dados, código-fonte e documentos internos da Dígitro Tecnologia, fornecedora de soluções utilizadas por mais de 150 instituições governamentais e órgãos de segurança pública no Brasil. O material exposto inclui bancos de dados e repositórios de código que descrevem, na prática, como funcionam por dentro sistemas críticos usados até por forças policiais. É tentador ler essa manchete como “problema de governo” e seguir o dia. Seria um erro. O que aconteceu com a Dígitro é a versão estatal de um risco que assombra toda empresa privada que depende de terceiros para operar, e hoje isso significa, sem exceção, todas elas.
O ponto que poucos gestores internalizam é que a superfície de ataque de uma empresa não termina no perímetro dela. Quando você contrata um ERP, um gateway de pagamento, uma plataforma de RH, um provedor de nuvem ou qualquer SaaS que se integra ao seu ambiente, você não está apenas comprando um serviço: está herdando silenciosamente a postura de segurança daquele fornecedor e de todas as dependências dele. Cada integração é uma porta lateral no seu prédio, e a maior parte dessas portas hoje se chama API. Se o fornecedor é invadido, o atacante não precisa furar a sua muralha. Ele entra pela conexão de confiança que você mesmo autorizou, muitas vezes com credenciais privilegiadas e acesso direto aos seus dados.
No Brasil, esse risco encontra terreno especialmente fértil por uma razão cultural. Terceirizamos com avidez, mas auditamos com preguiça. A decisão de contratar um fornecedor costuma passar por preço, prazo e funcionalidade, raramente por uma avaliação séria de maturidade de segurança. Pergunte a um gestor quantos fornecedores têm acesso a dados sensíveis da empresa e a resposta quase sempre é uma estimativa, não um número. Pergunte quando foi a última vez que a postura de segurança desses parceiros foi verificada e o silêncio responde. O vazamento da Dígitro mostra o custo dessa zona cinzenta: quando o elo terceirizado quebra, quem paga a conta é o cliente, com os dados dele expostos e a operação dele comprometida.
Já abordei aqui no Café com Bytes o ataque à cadeia de suprimentos do Trivy, quando uma ferramenta de segurança em que milhares de equipes confiavam foi transformada em veículo de roubo de credenciais. O princípio se repete e o fato é que terceirizar TI não significa terceirizar responsabilidade. E a boa notícia é que existe um caminho concreto. Comece exigindo evidências, não promessas: certificação ISO 27001 deixou de ser diferencial e virou requisito mínimo para fornecedor que toca dado crítico. Adote e cobre aderência a frameworks reconhecidos como o NIST Cybersecurity Framework e os CIS Controls, transformando isso em cláusula contratual com direito a auditoria. Inclua pentest periódico do fornecedor, ou do seu ponto de integração com ele, no seu próprio programa de testes, porque a API que conecta vocês dois é tão sua quanto dele. Trate proteção de APIs como prioridade de primeira ordem, com inventário vivo de cada endpoint, autenticação forte, escopo mínimo e monitoramento em runtime via WAAP integrado ao SIEM. E governe o acesso de terceiros com PAM e Vulnerability Assessment contínuo, porque a credencial de um fornecedor mal controlado é a chave-mestra que o atacante mais procura.
A sua empresa é tão segura quanto o mais frágil dos seus fornecedores. A Dígitro era confiável até deixar de ser, e a confiança não auditada é apenas risco esperando a hora de aparecer. Então fica a pergunta que recomendo levar para a próxima reunião de TI: se o seu principal fornecedor sofresse hoje o mesmo vazamento da Dígitro, você saberia exatamente quais dados seus estariam expostos e quais acessos precisaria revogar antes do fim do dia? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
Incidente na Dígitro reacende alerta sobre ataques a fornecedores (IPNews)
RECOMENDAÇÃO 05/2026 (CTIR Gov)
NIST Cybersecurity Framework (NIST)
CIS Critical Security Controls (Center for Internet Security)
ISO/IEC 27001 Information Security Management (ISO)
OWASP API Security Top 10 (OWASP Foundation)
