В Бразилии расследуют взлом национальной системы экстренных мобильных оповещений Defesa Civil Alerta. Ночью жители разных регионов страны получили ложные предупреждения уровня «экстремальная тревога». Часть сообщений выглядела как абсурдный розыгрыш: в них упоминались «misantropia» и «invasão alienígena» — «мизантропия» и «вторжение пришельцев».
Bloomberg сообщил, что фейковые правительственные мобильные уведомления получили миллионы пользователей. Бразильская гражданская оборона позже уточнила детали: всего через систему ушло 10 ложных предупреждений. Девять сообщений отправили через Cell Broadcast, ещё одно — через SMS. Точное число получателей власти не раскрыли, но подтвердили масштаб в миллионы людей.
Инцидент произошёл поздно вечером 19 июня и продолжился в первые часы 20 июня. Платформу Defesa Civil Alerta отключили профилактически около 1:30 ночи по местному времени. Материалы передали Федеральной полиции Бразилии. Следователи должны установить, кто получил доступ к системе, как была выполнена отправка и были ли скомпрометированы учётные записи операторов.
Defesa Civil Alerta — государственная система предупреждения о чрезвычайных ситуациях. Ек задача — быстро сообщать людям о сильных дождях, наводнениях, оползнях и других опасных событиях. Пользователю не нужно ставить приложение или заранее регистрироваться. Достаточно совместимого телефона в сети 4G или 5G в нужной зоне.
Cell Broadcast отличается от обычной SMS. Сообщение передается всем подходящим устройствам в выбранной географической зоне через инфраструктуру мобильной сети. На телефоне оно появляется как всплывающее окно поверх экрана, прерывает текущие действия и сопровождается громким сигналом. Категория «экстремальная тревога» рассчитана на ситуации с угрозой жизни, поэтому ночной фейковый alert легко мог вызвать панику.
Официальная версия пока описана без технических подробностей. Власти говорят о внешнем пользователе, который не был связан с Национальной системой защиты и гражданской обороны. Первый эпизод связывают с Paraná. После блокировки начального доступа появились новые отправки из других точек. Это может указывать на проблему с учетными записями, клонированными доступами, разграничением прав или процедурой подтверждения отправки.
Бразильские СМИ пишут, что первый ложный alert мог быть отправлен из Curitiba через региональную учетную запись. После ее блокировки атакующий или атакующие якобы использовали новые клонированные доступы для продолжения рассылки. Окончательная причина пока не названа. Открытых данных о конкретной уязвимости, украденном пароле или скомпрометированном API-ключе нет.
В соцсетях отдельно разошлась версия, что автор взлома сам опубликовал видео с процессом атаки, а в конце случайно оставил идентификатор CapCut и засветил лицо. Это пока не подтверждено официальными источниками.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
