Brasileiro descreve processo de invasão à Nasa como "frustrante e muito irritante"
Carlos Eduardo Zambelli Aloi, um profissional de segurança da informação de 38 anos, dedicou seis meses de 2025 a buscar falhas nos sistemas da Nasa, a agência espacial americana. Ele relata que a experiência foi marcada por desafios, com respostas lentas e relatórios nem sempre aceitos pela agência.
Reconhecimento oficial após persistência
Em novembro de 2025, a Nasa reconheceu duas das 26 vulnerabilidades identificadas por Carlos Eduardo. A agência enviou uma carta de agradecimento assinada por Tamiko Fletcher, diretora de segurança da informação, destacando a contribuição do brasileiro para a proteção dos dados da instituição.
O reconhecimento não incluiu recompensa financeira, mas para Carlos, representa uma conquista pessoal que valida seus anos de estudo e trabalho na área de cibersegurança.
Detalhes das vulnerabilidades encontradas
Em uma das falhas, Carlos Eduardo acessou um documento no Google Docs contendo um artigo científico restrito a funcionários da Nasa. Ele inseriu um link para um site falso, o que poderia permitir o roubo de credenciais como e-mails e senhas.
Na outra vulnerabilidade, ele encontrou uma pasta com dados sensíveis da agência, incluindo:
- Repositórios de sistemas internos
- Credenciais de acesso e senhas
- Endereços de IP utilizados pela Nasa
O brasileiro utilizou técnicas de reconhecimento e enumeração para mapear brechas na infraestrutura digital da Nasa, avançando gradualmente até acessar áreas restritas.
Processo demorado e desgastante
Carlos Eduardo dedicou de três a quatro horas por dia, geralmente no período noturno, após seu expediente de trabalho e aulas de pós-graduação em cibersegurança ofensiva. Ele relata que os relatórios enviados à Nasa ficavam semanas em análise, com feedbacks que muitas vezes consideravam as falhas sem impacto.
"Você passa muito tempo testando, monta o relatório, envia e ele não é aceito. É frustrante ficar horas trabalhando e não receber retorno", afirmou o especialista.
Contexto pessoal e profissional
Carlos Eduardo vive em São Paulo e trabalha com tecnologia da informação há mais de 20 anos, atuando especificamente em cibersegurança há cerca de uma década. Atualmente, ele é analista de sistemas sênior em uma grande rede de estacionamentos do Brasil.
A busca por vulnerabilidades na Nasa também serviu como distração durante um momento pessoal difícil: a morte de seu pai em outubro de 2025. O desafio técnico ajudou a aliviar o luto, combinando sua paixão pela área com um objetivo pessoal de ser reconhecido pela agência espacial.
Outros brasileiros no hall da fama da Nasa
Além de Carlos Eduardo, outros dois brasileiros aparecem no site Bugcrowd, plataforma utilizada pela Nasa para receber relatórios de vulnerabilidades. A agência mantém um programa de divulgação responsável de falhas, aberto a pesquisadores externos, que pode resultar em cartas de reconhecimento como a recebida pelo brasileiro.
A Nasa não comentou especificamente sobre as descobertas de Carlos Eduardo, citando questões de segurança, mas confirmou a existência do programa e a concessão de reconhecimentos através da Bugcrowd.
