PMA da ONU investiga vazamento que expôs dados de 600 mil famílias palestinas em Gaza
Programa Mundial de Alimentos confirmou breach na Self-Registration Application em Gaza ocorrida em 14 de maio. Dados incluem nome, ID, telefone e localização. ~600 mil famílias afetadas. Plataforma foi suspensa enquanto investigação avança.
O Programa Mundial de Alimentos (PMA), agência humanitária da ONU, confirmou nesta semana uma violação de segurança na plataforma usada por palestinos em Gaza para se registrar e receber assistência alimentar. Segundo apuração da The New Humanitarian, o incidente expôs informações pessoais de cerca de 600 mil famílias — base que cobre a maior parte das aproximadamente 1,6 milhão de pessoas atendidas mensalmente pela agência no território. O sistema foi suspenso, mas a agência ainda não atribuiu o ataque nem confirmou se os dados chegaram a ser vazados.
O que aconteceu
O PMA notificou os beneficiários no fim de semana por meio do Telegram, informando que “partes não autorizadas” acessaram dados armazenados na Self-Registration Application (SRA), aplicativo usado exclusivamente na Palestina onde indivíduos se registram para receber alimentos e auxílio financeiro após processo de verificação. A violação teria ocorrido em 14 de maio, segundo a porta-voz da agência ouvida pelo The New Humanitarian, mas só foi comunicada amplamente nesta semana.
Entre as informações expostas estão nomes, números de identificação, telefones e dados de localização — incluindo o bairro de residência coletado durante o registro. Em um cenário de conflito ativo, esse tipo de informação não é apenas um problema de privacidade comum: pode colocar diretamente em risco a vida de civis identificáveis por localização aproximada.
A agência informou na terça-feira que suspendeu temporariamente a plataforma de registro enquanto investiga o incidente, “tomou ações imediatas para conter a intrusão e reforçar os controles de segurança a fim de evitar nova exposição”. O PMA não revelou publicamente o número exato de afetados nem respondeu aos pedidos de comentário da imprensa internacional além da declaração inicial.
Detalhes do incidente
A SRA é uma aplicação de auto-registro implantada exclusivamente para a operação humanitária na Palestina. Esse tipo de sistema costuma combinar formulário web ou app móvel, backend para validação de identidade, integração com sistemas de pagamento ou logística de distribuição e armazenamento de dados sensíveis em volume — exatamente o tipo de superfície que ataques tradicionais de cred stuffing, exploração de API mal protegida ou comprometimento de credenciais administrativas conseguem atingir.
O PMA não identificou quem está por trás da intrusão nem como os atacantes conseguiram acesso. Também não há, até o momento, confirmação de que os dados tenham sido publicados em fóruns de leak ou comercializados em mercados clandestinos. A janela entre o incidente (14 de maio) e a notificação pública aos beneficiários (fim de semana seguinte ao primeiro de junho) é, no entanto, relevante para autoridades de proteção de dados.
“O PMA tomou ações imediatas para encerrar a plataforma, conter a intrusão e reforçar seus controles de segurança a fim de evitar nova exposição.”
Porta-voz do Programa Mundial de Alimentos
O PMA é a maior organização humanitária do mundo dedicada ao combate à fome e à insegurança alimentar. Segundo a própria agência, ela fornece pacotes de alimentos, refeições quentes, pão e ajuda em dinheiro para cerca de 1,6 milhão de pessoas em Gaza a cada mês — o que dimensiona o impacto potencial da quebra de confiança no sistema de cadastro.
Quem é afetado
Os impactos não se restringem ao incidente em si. Para diferentes públicos, o caso traz riscos próprios:
- Beneficiários registrados na SRA: cerca de 600 mil famílias com identificação, telefone e localização em mãos potencialmente hostis.
- Outras agências humanitárias atuando em Gaza, que podem ser alvo de campanhas de phishing direcionado mimetizando o PMA junto aos beneficiários.
- Operadores de plataformas SRA em outros contextos de crise humanitária (Sudão, Mianmar, Líbano), que enfrentam ameaça semelhante.
- Doadores institucionais que financiam a operação humanitária e exigem, cada vez mais, evidência de controles de proteção de dados.
- Profissionais de proteção (humanitarian protection officers), que precisarão reavaliar como dados de localização são coletados em zonas de conflito.
Análise
Vazamentos em organizações humanitárias deixaram de ser exceção. Em 2022, o ICRC (Cruz Vermelha Internacional) foi vítima de uma intrusão sofisticada que expôs dados de mais de 500 mil pessoas vulneráveis. O incidente do PMA segue uma curva preocupante: dados de pessoas em situação de risco extremo são abrigados em aplicações construídas sob pressão operacional, com orçamentos enxutos e prazos apertados, e acabam protegidos por controles que ficariam à frente apenas de instituições muito pequenas.
A particularidade da SRA em Gaza é que ela cruza dois fatores que historicamente já bastam para chamar atenção de atores estatais: dados biográficos detalhados de uma população alvo de operações militares ativas, e geolocalização a nível de bairro. Mesmo sem confirmação de quem foi o atacante, qualquer agência de inteligência interessada teria motivação para tentar obter essa base. Esse contexto, combinado com a comunicação tardia, vai pressionar o PMA a apresentar timeline detalhada e medidas remediais robustas.
Há também uma camada operacional. Quando uma plataforma de cadastro precisa ser desligada em meio a uma crise humanitária, o impacto é direto: famílias deixam de conseguir se registrar para receber comida e dinheiro. A decisão entre manter o serviço no ar (com risco residual) ou suspendê-lo até remediação completa é uma escolha sem boas opções — e exemplifica por que segurança da informação em contextos humanitários deveria ser tratada como questão de proteção de civis, não como tema de TI.
Recomendações práticas
- Para o PMA e parceiros: publicar um relatório de incidente com escopo, vetor, número exato de afetados e medidas adotadas, alinhado às melhores práticas dos CSIRTs nacionais.
- Implementar minimização de dados na SRA — coletar somente o estritamente necessário para distribuição, e separar dados de localização em segmento isolado com criptografia adicional.
- Adotar autenticação forte (MFA resistente a phishing) e revisão obrigatória de privilégios para todo acesso administrativo a plataformas com dados de populações em risco.
- Aplicar monitoração contínua de exfiltração e baseline de comportamento da API, com alertas de DLP voltados a dumps em massa.
- Para outras agências humanitárias: revisar urgentemente arquiteturas semelhantes de auto-registro, especialmente em zonas de conflito.
- Para beneficiários: tratar com desconfiança contatos não oficiais (SMS, WhatsApp, ligações) que se apresentem como PMA solicitando dados adicionais; quaisquer notificações genuínas d
