O brasileiro Carlos Eduardo Zambelli Aloi, de 38 anos, passou a integrar o Hall da Fama da NASA após identificar vulnerabilidades relevantes nos sistemas digitais da agência espacial norte-americana. O reconhecimento veio depois de meses de testes realizados dentro de um programa institucional que autoriza pesquisadores externos a buscar e relatar falhas de segurança de forma legal e responsável.

Com mais de duas décadas de experiência em tecnologia da informação, Aloi reportou ao todo 26 vulnerabilidades. Apenas duas foram oficialmente aceitas pela NASA, número suficiente para garantir seu nome entre os profissionais reconhecidos por contribuir para a proteção da infraestrutura digital da agência. De acordo com ele, o processo foi longo e marcado por frustrações, com períodos de silêncio e rejeição de relatórios antes da validação final.

Durante anos, o especialista atuou em competições conhecidas como CTFs, sigla para Capture The Flag, desafios controlados em ambientes simulados que testam habilidades de invasão ética. A virada ocorreu quando decidiu migrar para o modelo de bug bounty, no qual empresas e instituições públicas permitem que pesquisadores examinem sistemas reais em busca de falhas. A NASA é uma das organizações que mantêm esse tipo de iniciativa como parte de sua política de segurança da informação. Aloi fez uma publicação em sua Linkedin onde detalha a experiência.

A primeira vulnerabilidade aceita foi classificada como de alta criticidade, por ser uma falha de controle de acesso conhecida como IDOR, em que o sistema confia excessivamente nos parâmetros presentes nos endereços digitais. Na prática, o problema permitia contornar a autenticação e acessar áreas restritas. Segundo Aloi, a brecha possibilitou a edição de um documento científico armazenado em um serviço interno, o que poderia gerar impactos significativos caso fosse explorado de forma maliciosa.

A segunda falha reconhecida teve criticidade moderada e envolvia o acesso a dados sensíveis da infraestrutura interna da agência, como repositórios, endereços de IP válidos e informações técnicas que poderiam facilitar ataques mais complexos. Para o pesquisador, a descoberta de vulnerabilidades costuma ocorrer em cadeia, quando uma brecha leva a outra em um processo contínuo de exploração controlada.

Como forma de reconhecimento, Aloi recebeu uma Letter of Recognition assinada pela diretora de segurança da informação da NASA, Tamiko Fletcher. No documento, a agência destaca que a capacidade de identificar e reportar vulnerabilidades é uma habilidade valiosa e afirma que os relatórios enviados ajudaram a preservar a integridade e a disponibilidade de suas informações. O reconhecimento não incluiu recompensa financeira, algo comum em alguns programas de bug bounty, mas teve peso simbólico na trajetória profissional do brasileiro.

Atualmente, Carlos Eduardo Zambelli Aloi atua na empresa Estapar, onde é responsável por estratégias de segurança digital e monitoramento de ameaças. Ele também fundou o projeto ALQUYMIA, voltado à formação técnica em cibersegurança, mantém um canal no YouTube com conteúdos práticos sobre hacking ético e administra uma comunidade online que reúne milhares de interessados no tema.

Em um contexto de aumento das ameaças digitais e da complexidade dos sistemas tecnológicos, iniciativas de cooperação entre instituições públicas e especialistas externos são estratégias de segurança necessárias, inclusive em organizações do porte e da relevância da agência espacial norte-americana.

Por Cinthya Dávila (Revista Fórum )