Vazamento da Dígitro: o que empresas devem aprender

O vazamento da Dígitro expôs 3,39 TB e três CVEs críticas. Veja o que aconteceu e como blindar sua empresa do risco de fornecedores.

por Cleverson Gouvêa

Ilustração de vazamento de dados corporativos com alerta de segurança, representando o vazamento da Dígitro

O vazamento da Dígitro virou o maior alerta de cibersegurança corporativa de 2026 no Brasil: 3,39 terabytes de bancos de dados, código-fonte e arquivos internos de uma fornecedora estratégica de defesa expostos publicamente. Se um fabricante que atende mais de 150 órgãos públicos pode ser comprometido, sua empresa também pode. Aqui explico o que houve, o que aprender e como se proteger.

TL;DR

  • Em 8 de abril de 2026, cerca de 3,39 TB atribuídos à Dígitro Tecnologia foram publicados via coletivo DDoSecrets.
  • A empresa fornece o sistema Guardião (interceptação legal) e o NGC Explorer, usados por forças de segurança e órgãos públicos.
  • Três falhas — CVE-2025-4526, CVE-2025-4527 e CVE-2025-4528 — foram catalogadas e corrigidas nas versões mais recentes do NGC Explorer.
  • O CTIR Gov emitiu as Recomendações 05, 09 e 10/2026: atualizar para o NGC Explorer 3.48.22+, segregar rede e bloquear acesso externo às interfaces administrativas.
  • A lição vale para qualquer negócio: ataques via fornecedores já respondem por cerca de 30% das violações globais.

O que aconteceu no vazamento da Dígitro

No dia 8 de abril de 2026, um conjunto de dados atribuído à Dígitro Tecnologia foi publicado por fontes anônimas por meio do coletivo DDoSecrets. O material soma 3,39 terabytes e inclui bancos de dados, repositórios de código-fonte e arquivos internos da companhia.

O problema não é só o volume. É o conteúdo. Expor código-fonte de sistemas de interceptação significa entregar o mapa da arquitetura interna. Com ele, um atacante pode estudar como o software funciona, procurar caminhos de acesso não documentados e desenvolver exploits sob medida. É a diferença entre arrombar uma porta no escuro e receber a planta baixa do prédio com as fechaduras marcadas.

A Dígitro se manifestou publicamente sobre as recomendações emitidas pelo governo e afirmou que as vulnerabilidades catalogadas já estão corrigidas nas versões atuais de seus produtos. Ainda assim, o episódio deixou uma superfície de risco aberta para quem opera versões desatualizadas.

Quem é a Dígitro e por que o caso é grave

A Dígitro é uma empresa catarinense com quase cinco décadas de atuação, reconhecida pelo Ministério da Defesa como Empresa Estratégica de Defesa (EED). Ela desenvolve o sistema Guardião, plataforma usada para interceptações legais de voz e dados mediante autorização judicial, além de ferramentas de transcrição e gestão de comunicações.

Segundo os relatos do incidente, os produtos da empresa atendem mais de 150 instituições governamentais e órgãos de segurança pública no país. Quando um fornecedor com esse nível de penetração é comprometido, o estrago não fica contido nele — ele se espalha para toda a cadeia que depende dos seus sistemas.

Esse é exatamente o ponto que interessa a qualquer empresa, não só a órgãos de segurança. O vazamento da Dígitro é um estudo de caso sobre risco concentrado em fornecedor crítico. Você pode ter a melhor higiene de segurança do mundo internamente e, mesmo assim, ser exposto porque um parceiro na sua cadeia falhou.

As vulnerabilidades técnicas por trás do caso

Junto ao vazamento, três vulnerabilidades foram catalogadas no componente NGC Explorer da Dígitro. Elas ajudam a entender como acessos indevidos podem ocorrer quando o software não está atualizado.

CVE Componente O que a falha permite
CVE-2025-4526 NGC Explorer Exposição de senhas por ausência de mascaramento nas páginas de configuração
CVE-2025-4527 NGC Explorer Falha client-side que permite acesso remoto a informações sensíveis
CVE-2025-4528 NGC Explorer Expiração de sessão insuficiente, permitindo burlar o mecanismo de segurança

São três clássicos de segurança de aplicação: dado sensível trafegando ou aparecendo sem proteção, controle de acesso frágil no lado do cliente e sessão que não expira quando deveria. Nenhuma delas é exótica — e é justamente por isso que valem como aula. As mesmas categorias de falha aparecem em painéis administrativos, ERPs e sistemas internos de empresas de todos os tamanhos.

O fabricante informou que as três CVEs já foram corrigidas nas versões mais recentes do NGC Explorer. A correção existir, porém, não protege quem não aplica o patch. É a lacuna entre "a falha foi corrigida" e "a correção está instalada" que os atacantes exploram.

O que o CTIR Gov recomendou

O CTIR Gov — o centro do governo federal para tratamento de incidentes cibernéticos — publicou uma sequência de recomendações (05/2026, 09/2026 e 10/2026) com base em informações da própria Dígitro. As medidas emergenciais são um roteiro que serve para praticamente qualquer sistema crítico:

  1. Atualizar imediatamente o NGC Explorer para a versão 3.48.22 ou superior.
  2. Restringir acessos e aplicar segregação de rede, isolando os equipamentos.
  3. Bloquear todo acesso externo e remoto às interfaces administrativas dos equipamentos.
  4. Auditar credenciais e chaves de API, rotacionando segredos corporativos.
  5. Monitorar continuamente a superfície de ataque em busca de exposições.

Repare que só a primeira recomendação é específica da Dígitro. As outras quatro são princípios universais de defesa. Se a sua empresa aplicasse esse mesmo checklist a cada sistema crítico, a superfície de ataque cairia drasticamente.

Por que isso é um problema de cadeia de fornecedores

O ângulo mais importante do vazamento da Dígitro para o público corporativo não é o Guardião — é a cadeia de fornecedores. Ataques que entram por terceiros (um fornecedor de software, uma dependência de código, um prestador com acesso à sua rede) já representam cerca de 30% das violações globais, segundo análises do setor sobre o próprio caso.

O padrão se repete. Já vimos isso em pacotes NPM infectados na campanha Shai-Hulud, que contaminaram o supply chain de código aberto, e no episódio em que o GitHub foi invadido por uma extensão maliciosa do VS Code que vazou milhares de repositórios. O vetor muda — pacote, extensão, fornecedor de defesa — mas a lógica é sempre a mesma: comprometer um elo confiável para alcançar todos os que dependem dele.

Para a maioria das empresas, o fornecedor crítico não é uma companhia de interceptação. É o ERP, a folha de pagamento na nuvem, o gateway de pagamento, a ferramenta de atendimento. Cada integração com acesso aos seus dados é um elo que precisa ser avaliado.

Como avaliar o risco de um fornecedor

  • Mapeie o acesso: que dados esse fornecedor lê, grava ou armazena? Quanto mais sensível, mais rígido o critério.
  • Cobre transparência: ele publica avisos de segurança, CVEs e prazos de correção? Silêncio é bandeira vermelha.
  • Exija segregação: o acesso do fornecedor está isolado do resto da sua rede ou ele entra por uma porta ampla?
  • Documente a saída: se precisar desligar esse parceiro amanhã, você consegue revogar tudo rapidamente?

Como sua empresa deve se proteger

O vazamento da Dígitro é grande demais para uma empresa comum reproduzir na escala, mas as defesas são as mesmas em qualquer tamanho. Na Agathas Web, quando assumimos a infraestrutura de um cliente, esse é o núcleo do trabalho: reduzir a superfície exposta antes que ela vire manchete.

  • Patch em dia é a defesa mais barata. A maioria dos incidentes explora falhas já corrigidas. Ter um processo para atualizar servidores, aplicações e dependências vale mais que qualquer ferramenta cara.
  • Nunca exponha painéis administrativos à internet aberta. Interfaces de gestão devem viver atrás de VPN, IP restrito ou rede segregada — exatamente o que o CTIR Gov recomendou.
  • Rotacione segredos e use gestão de credenciais. Senhas e chaves de API em texto plano, sem expiração, são a porta de entrada favorita. Mascare, rotacione, e nunca deixe segredo em repositório.
  • Segregue a rede. Se um sistema for comprometido, a segregação impede que o atacante caminhe lateralmente até o resto do ambiente.
  • Monitore. Você não pode responder ao que não vê. Log centralizado e alertas de exposição encurtam a distância entre a invasão e a reação.

Esses princípios não dependem do setor. Valem para uma loja virtual, uma plataforma de ensino a distância em Moodle ou um sistema de atendimento. A segurança não é um produto que se compra — é uma disciplina que se mantém.

Erros comuns que ampliam o estrago

Alguns hábitos transformam um incidente pequeno em catástrofe. Reutilizar a mesma senha administrativa em vários sistemas faz com que uma credencial vazada abra todas as portas de uma vez. Deixar backups no mesmo servidor da aplicação significa perder o dado e a cópia de segurança no mesmo ataque. E confiar cegamente em "o fornecedor cuida disso" sem nunca revisar acessos é como entregar a chave de casa e esquecer quem ficou com a cópia. Evitar esses três erros já coloca você à frente da maioria.

Soberania de dados: onde sua informação mora importa

O caso Dígitro reacendeu uma discussão que vinha crescendo: a soberania sobre o tráfego e o armazenamento de dados nacionais. A empresa era citada justamente como exemplo de infraestrutura crítica mantida em território brasileiro. Quando dados sensíveis moram fora do país, some uma camada de controle jurídico — você fica sujeito às leis e às ordens judiciais de outra jurisdição, muitas vezes sem saber.

Para empresas, a pergunta prática é simples: você sabe onde seus dados de clientes estão hospedados? Fisicamente, em qual país ficam os servidores do seu ERP, do seu e-mail, do seu sistema de atendimento? A resposta influencia desde o tempo de resposta legal em um incidente até a conformidade com a LGPD.

Não há uma escolha única correta — provedores globais têm segurança excelente. Mas a decisão precisa ser consciente, e não um acidente de contrato. Manter cargas sensíveis em infraestrutura auditável, com controle claro de acesso e localização conhecida, é parte da mesma higiene que evita virar a próxima manchete.

LGPD e a responsabilidade compartilhada

Um ponto que muita empresa ignora: contratar um fornecedor não transfere a responsabilidade sobre os dados dos seus clientes. Sob a LGPD, quem coleta os dados continua sendo responsável por eles, mesmo quando o vazamento acontece na infraestrutura de um parceiro. "O fornecedor falhou" não é defesa jurídica suficiente.

Na prática, isso significa três obrigações mínimas. Primeiro, escolher operadores que demonstrem maturidade de segurança — e registrar essa diligência. Segundo, ter contratos que definam responsabilidades, prazos de notificação e obrigações em caso de incidente. Terceiro, manter um plano de resposta que inclua comunicar a ANPD e os titulares quando houver risco relevante.

O caso Dígitro mostra que até fornecedores de altíssimo nível técnico são alvos. Presumir que "empresa grande é empresa segura" é a suposição que mais custa caro em segurança da informação.

Conclusão: o próximo elo pode ser você

O vazamento da Dígitro não é uma história distante sobre interceptação policial. É um espelho. Ele mostra que superfície exposta, patch atrasado e credencial fraca derrubam desde uma fornecedora de defesa até uma pequena operação digital. A diferença entre virar notícia e seguir funcionando está no básico bem feito: atualizar, isolar, rotacionar e monitorar.

Se você não tem certeza de quão exposta sua infraestrutura está — quantos painéis abertos, quantos segredos sem rotação, quantos fornecedores com acesso amplo — esse é o momento de auditar. Na Agathas Web, ajudamos empresas a mapear e reduzir essa superfície antes que ela seja explorada. Comece pelo checklist deste post e trate cada item como uma porta que precisa ser trancada.

Perguntas frequentes

O que foi o vazamento da Dígitro?

Em 8 de abril de 2026, cerca de 3,39 terabytes de dados atribuídos à Dígitro Tecnologia foram publicados por fontes anônimas via coletivo DDoSecrets. O material inclui bancos de dados, repositórios de código-fonte e arquivos internos da empresa, que fornece sistemas de interceptação e monitoramento a mais de 150 órgãos públicos no Brasil. A exposição do código-fonte é o ponto mais crítico, porque revela a arquitetura interna dos sistemas e facilita o desenvolvimento de exploits direcionados.

Quais vulnerabilidades foram identificadas nos produtos da Dígitro?

Três falhas foram catalogadas no componente NGC Explorer: a CVE-2025-4526, que expõe senhas por falta de mascaramento nas páginas de configuração; a CVE-2025-4527, uma falha client-side que permite acesso remoto a informações sensíveis; e a CVE-2025-4528, de expiração de sessão insuficiente, que permite burlar o mecanismo de segurança. Segundo a Dígitro, todas já foram corrigidas nas versões mais recentes do produto — mas a correção só protege quem efetivamente aplica a atualização.

O que o CTIR Gov recomendou por causa do incidente?

O CTIR Gov publicou as Recomendações 05/2026, 09/2026 e 10/2026 com base em informações da própria Dígitro. As medidas incluem atualizar o NGC Explorer para a versão 3.48.22 ou superior, aplicar segregação de rede, bloquear todo acesso externo e remoto às interfaces administrativas dos equipamentos, auditar credenciais e chaves de API com rotação de segredos, e monitorar continuamente a superfície de ataque. Com exceção da versão específica, essas recomendações são princípios universais que qualquer empresa pode adotar.

Por que o caso Dígitro importa para empresas que não são do setor de segurança?

Porque o vazamento é um exemplo de risco de cadeia de fornecedores, e ataques via terceiros já respondem por cerca de 30% das violações globais. Para a maioria das empresas, o fornecedor crítico não é uma companhia de interceptação, mas o ERP na nuvem, o gateway de pagamento ou a ferramenta de atendimento. Cada integração com acesso aos seus dados é um elo que pode ser comprometido — e a lição é avaliar, isolar e monitorar cada um desses parceiros.

A LGPD me protege se o vazamento acontecer no meu fornecedor?

A LGPD não transfere a responsabilidade sobre os dados dos seus clientes só porque o incidente ocorreu na infraestrutura de um parceiro. Quem coleta os dados continua responsável por eles. Na prática, isso exige escolher operadores com maturidade de segurança e registrar essa diligência, manter contratos que definam responsabilidades e prazos de notificação, e ter um plano de resposta que preveja comunicar a ANPD e os titulares quando houver risco relevante. 'O fornecedor falhou' não é uma defesa jurídica suficiente.