Um especialista em segurança digital do Brasil passou quatro meses vasculhando sistemas internos da NASA em busca de brechas. O esforço, conduzido de forma independente e fora do expediente, terminou com reconhecimento público da maior agência espacial do planeta.
Entre idas e vindas de relatórios, apenas duas das 26 vulnerabilidades enviadas foram validadas, mas bastaram para render uma carta assinada pela diretora de segurança da informação da NASA. Sem prêmio em dinheiro, o brasileiro agora figura no hall da fama da plataforma Bugcrowd, responsável por intermediar descobertas de falhas críticas na NASA.
Quem é o pesquisador que encontrou falhas críticas na NASA
Carlos Eduardo Zambelli Aloi, 38 anos, atua há cerca de dez anos em cibersegurança e decidiu testar a infraestrutura digital da agência norte-americana em 2025. Ele dedicava cerca de quatro horas por noite ao processo, motivado tanto pela curiosidade profissional quanto por questões pessoais — a busca por distração após a perda do pai, em outubro daquele ano.
Formado em análise de sistemas, Carlos Eduardo já participava de programas de bug bounty, mas ver seu nome associado a falhas críticas na NASA representou outro patamar. Ao site Chasy Spos, ele contou que a experiência exigiu paciência: “Você trabalha horas, envia o relatório e, muitas vezes, a resposta demora semanas”.
Como as vulnerabilidades foram descobertas
O pesquisador brasileiro utilizou métodos tradicionais de pentest, combinando análise de código exposto, engenharia reversa e testes de acesso não autorizado. Entre as 26 vulnerabilidades relatadas, duas ficaram marcadas como falhas críticas na NASA, ambas confirmadas em novembro de 2025.
No primeiro caso, Carlos Eduardo acessou um documento restrito no Google Docs, destinado apenas a funcionários. Para demonstrar o risco, ele incluiu um link malicioso capaz de coletar credenciais de e-mail e senha de qualquer colaborador que clicasse. A simples presença do link evidenciou a brecha de segurança.
Exposição de senhas e IPs
A segunda falha crítica na NASA envolvia uma pasta interna com informações sensíveis: senhas, endereços de IP e detalhes da infraestrutura. Caso explorada, a vulnerabilidade permitiria invasores ganhar acesso privilegiado a sistemas estratégicos da agência.
Reconhecimento oficial e hall da fama
Mesmo sem recompensa financeira, a validação das falhas críticas na NASA rendeu a Carlos Eduardo uma Carta de Reconhecimento emitida em 22 de dezembro de 2025. O documento, assinado por Tamiko Fletcher, diretora sênior de segurança da informação, destaca a contribuição do brasileiro para a integridade dos dados da agência.
Além da carta, o analista foi incluído no hall of fame da Bugcrowd. A plataforma é usada pela NASA para gerenciar o programa de divulgação de vulnerabilidades (VDP) e receber relatórios de pesquisadores do mundo todo.
Imagem: Redes sociais
Processo lento e frustrante, mas recompensador
Embora o reconhecimento tenha chegado, Carlos Eduardo descreveu o caminho até lá como desgastante. Segundo ele, a comunicação com a equipe responsável leva tempo: “Muitas submissões são recusadas ou marcadas como irrelevantes; só de receber feedback já é motivo de comemoração”.
A frustração, porém, deu lugar a uma conquista pessoal significativa. “Refletiu todo meu esforço de estudo”, afirmou. A experiência reforça a importância de programas como o VDP, que permitem a pesquisadores externos colaborar na identificação de falhas críticas na NASA.
Política de divulgação da NASA
Em nota, a agência confirmou que mantém seu VDP aberto a participantes globais e que emite cartas sempre que vulnerabilidades são comprovadas e corrigidas. Por padrão, não comenta casos específicos para evitar exposição de detalhes técnicos.
Impacto na carreira e próximos passos
Para o analista, ter encontrado falhas críticas na NASA já impulsiona novos convites de trabalho e consultoria. Embora continue atuando em segurança corporativa, ele planeja participar de mais programas de bug bounty de alto nível.
“Não existe prêmio melhor que o reconhecimento de uma entidade tão respeitada”, declarou. O caso também acende o alerta sobre como documentos armazenados em serviços na nuvem podem se tornar portas de entrada para invasores, mesmo em organizações altamente tecnológicas.
Por fim, Carlos Eduardo deixa um recado: “Relatar falhas é parte do processo de aprimoramento. A segurança nunca está completa; é um esforço contínuo”. A frase resume a essência de quem transformou horas extras em uma conquista que agora estampa seu currículo — e protege, por tabela, a agência responsável por missões que desbravam o Sistema Solar.
