Vazamento crítico na Dígitro Tecnologia expõe cadeia cibernética de 150 instituições governamentais

Incidente de alta criticidade no coração da infraestrutura pública

Um vazamento de dados envolvendo a Dígitro Tecnologia, empresa catarinense fornecedora de sistemas de interceptação e monitoramento para o poder público, acendeu alertas em toda a cadeia de segurança cibernética do governo federal. O Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) classificou o episódio como crítico e emitiu duas recomendações formais — a 05/2026, publicada em 17 de abril de 2026, e a posterior 09/2026 —, convocando mais de 150 instituições governamentais e órgãos de segurança pública a adotarem medidas corretivas imediatas.

O que foi exposto e por que importa

O incidente comprometeu dados internos da empresa, incluindo documentos corporativos, repositórios de código-fonte e credenciais de acesso. A gravidade vai além dos arquivos em si: a Dígitro é responsável pelo sistema Guardião, plataforma utilizada para interceptação legal de comunicações por forças policiais e agências de inteligência em todo o país. A exposição de 3,39 TB de informações sensíveis de uma fornecedora com essa capilaridade transforma o caso em um problema de segurança nacional, não apenas um incidente corporativo isolado. O CTIR Gov identificou três vulnerabilidades catalogadas nos identificadores CVE-2025-4526, CVE-2025-4527 e CVE-2025-4528, todas presentes no componente NGC Explorer da plataforma. A primeira permitia a exibição de senhas em páginas de configuração sem mascaramento; a segunda possibilitava a extração remota de dados sensíveis via falha no lado do cliente; e a terceira envolvia expiração insuficiente de sessões, abrindo caminho para contornar controles de segurança.

Resposta institucional e posição da Dígitro

Diante do quadro, o CTIR Gov determinou às instituições afetadas que aplicassem patches emergenciais, isolassem interfaces de configuração expostas à internet pública, realizassem auditoria completa de credenciais e rotacionassem imediatamente todas as chaves de API e segredos corporativos eventualmente presentes nos repositórios comprometidos. O órgão também solicitou monitoramento contínuo da superfície de ataque e a adoção de políticas de controle de aplicações como WDAC e AppLocker para restringir execução de scripts não autorizados. A Dígitro Tecnologia, por sua vez, reconheceu publicamente o incidente em nota técnica, afirmando que "não há evidências de exploração ativa das vulnerabilidades em ambientes atualizados" e que as falhas estariam restritas a versões legadas do NGC Explorer. A empresa informou ter implementado correções de invalidação de sessão, reforço de autenticação e aprimoramento das validações no servidor, além de recomendar atualização imediata pelos canais oficiais.

O padrão preocupante da cadeia de fornecedores

O episódio da Dígitro não é um caso isolado. Em abril de 2026, o próprio CTIR Gov registrou uma sequência de alertas abrangendo campanhas de phishing direcionadas a órgãos públicos, exploração de vulnerabilidades em aplicações PHP governamentais e ataques a infraestruturas críticas. O padrão recorrente evidencia uma lacuna estrutural: enquanto órgãos públicos adotam frameworks de segurança para seus próprios sistemas, os fornecedores da cadeia produtiva nem sempre são submetidos ao mesmo nível de escrutínio. Quando uma empresa privada sustenta o aparato tecnológico de inteligência e segurança pública de um país, um incidente em seus servidores pode ter consequências que transcendem em muito o ambiente corporativo — e o caso Dígitro serve de alerta inequívoco sobre os riscos de dependências críticas não mapeadas na infraestrutura do Estado brasileiro.

Fonte: Portal Information Management — Casos recentes de vazamento de dados reforçam preocupação com cadeia de exposição cibernética no Brasil. Corroborado por Recomendação 05/2026 do CTIR Gov e Nota Técnica da Dígitro Tecnologia.