WFP investiga vazamento de dados de 600 mil famílias palestinas em Gaza

O Programa Mundial de Alimentos da ONU (WFP) confirmou uma invasão à sua plataforma de auto-registro em Gaza, com vazamento de dados pessoais de cerca de 600 mil famílias palestinas que solicitavam assistência humanitária. A intrusão ocorreu em 14 de maio de 2026, expôs nomes, números de identificação, telefones e dados de localização e levou a agência a suspender o sistema enquanto investiga o incidente.

O que aconteceu

O World Food Programme (WFP), maior organização humanitária do mundo dedicada ao combate à fome, divulgou em mensagem enviada aos beneficiários via Telegram que partes não autorizadas acessaram os dados armazenados em seu Self-Registration Application (SRA), o aplicativo utilizado em Gaza para que pessoas se cadastrem na fila de assistência alimentar e em dinheiro após passar por verificação.

As informações expostas incluem nomes completos, números de identificação, números de telefone e detalhes de localização, com informações de bairro coletadas no momento do cadastro. A agência confirmou a suspensão temporária da plataforma de registro enquanto trabalha em medidas de contenção e reforço de controles de segurança.

Em comunicado ao veículo The New Humanitarian, um porta-voz do WFP afirmou que o incidente expôs informações sensíveis de aproximadamente 600 mil famílias palestinas em Gaza. A organização presta atendimento mensal a cerca de 1,6 milhão de pessoas na região, fornecendo cestas, refeições prontas, pão e auxílio em dinheiro.

Como o ataque funciona

O WFP ainda não divulgou o vetor exato da intrusão nem identificou os responsáveis. O SRA é o ponto único de entrada para que indivíduos registrem suas necessidades em uma zona de conflito ativo, e por isso concentra dados altamente sensíveis em um perímetro digital exposto à internet e operado em condições de campo nada triviais.

O WFP tomou medidas imediatas para encerrar a plataforma, conter a intrusão e reforçar seus controles de segurança para evitar mais exposição.

Porta-voz do Programa Mundial de Alimentos

A janela entre o incidente, ocorrido em 14 de maio, e a comunicação pública é de aproximadamente três semanas. Para um ambiente humanitário, esse atraso comprime a janela de mitigação possível para os beneficiários, que muitas vezes não têm meios práticos de trocar números de telefone, endereço ou documentos rapidamente.

Quem é afetado

• Aproximadamente 600 mil famílias palestinas em Gaza cujos dados estavam registrados no SRA.
• Indivíduos cujas informações de identificação, telefone e localização de bairro foram expostas.
• Operações em campo do WFP, que perdem temporariamente a capacidade de inscrever novos beneficiários.
• Parceiros humanitários que dependem da base de dados do WFP para coordenar entregas e priorização.

Análise

Este episódio acende um alerta sobre uma classe inteira de riscos: a digitalização da ajuda humanitária em zonas de conflito. Sistemas como o SRA do WFP, o CashAssist do ACNUR e diversas plataformas de biometria utilizadas para autenticar beneficiários se tornaram repositórios concentrados de dados altamente sensíveis sobre populações vulneráveis. Em contextos de guerra, esses bancos podem ser visados não apenas por cibercriminosos comuns, mas por atores estatais interessados em mapear pessoas, fluxos de ajuda ou redes familiares.

O risco não é hipotético. Em 2022, o Comitê Internacional da Cruz Vermelha (CICR) sofreu uma intrusão que expôs dados de mais de meio milhão de pessoas em programas de restabelecimento de laços familiares, atribuída a um ator com perfil patrocinado por Estado. Em 2021, dados biométricos coletados pelo ACNUR em Bangladesh foram supostamente compartilhados com autoridades de Mianmar sem consentimento dos refugiados rohingya. O caso WFP entra nessa linhagem e reforça que dados humanitários precisam de modelo de ameaça compatível com o de inteligência militar.

A combinação de dados expostos no caso atual, identificação cruzada com bairro e telefone, é particularmente perigosa em uma zona com operações militares ativas. Mesmo que não haja evidência de uso operacional desses dados por atores armados, a possibilidade desse uso obriga organizações humanitárias a tratar a exposição como risco físico imediato, não apenas privacidade.

Recomendações práticas

• Para organizações humanitárias: revisar urgência de minimização de dados em sistemas de registro de beneficiários, mantendo apenas o essencial e adotando criptografia em repouso e segregação por região.
• Implementar autenticação forte para administradores e operadores de campo, com auditoria contínua de acessos privilegiados a sistemas com PII de populações em risco.
• Modelos de ameaça humanitária devem incluir cenários de adversário com capacidade estatal, não apenas crime financeiro.
• Para beneficiários potencialmente expostos: redobrar atenção a tentativas de phishing por telefone que se passem por funcionários do WFP ou de outras agências.
• Coordenação entre agências humanitárias para compartilhamento de indicadores de comprometimento, evitando que o mesmo TTP atinja sistemas paralelos.
• Pressão regulatória e de doadores para que plataformas humanitárias passem por avaliações de segurança independentes antes de entrar em operação em zonas de conflito.

Fonte: The Record