Vazamento de credenciais expõe mais de 200 aeroportos ao risco de ataque cibernético
Uma única combinação de usuário e senha, pertencente a um engenheiro de sistemas de uma empresa de manutenção aeronáutica, foi suficiente para abrir uma brecha crítica nos sistemas operacionais de mais de 200 aeroportos ao redor do mundo. O profissional trabalhava para uma empresa contratada por uma terceirizada de um grande fornecedor de TI para aviação — ou seja, uma “quarta parte” na cadeia de fornecimento.
A descoberta foi feita pela plataforma de inteligência de ameaças CloudSEK, por meio da ferramenta SVigil, que identificou as credenciais sendo negociadas em fóruns na dark web em 4 de fevereiro de 2026. A partir dali, ficou claro que um simples vazamento, em um ponto aparentemente periférico, podia se transformar em uma porta de entrada global para a infraestrutura crítica de aviação.
O elo mais fraco da cadeia de fornecimento
O relatório assinado pelos pesquisadores Amruth Pothula e Hansika Saxena expõe um problema estrutural: a dependência excessiva de camadas e mais camadas de terceirização. Funciona assim:
– o aeroporto contrata um grande fornecedor de tecnologia especializado em soluções para aviação;
– esse fornecedor terceiriza uma parte de suas operações para uma empresa de manutenção;
– essa empresa, na prática, se torna uma quarta parte em relação ao aeroporto, mas com privilégios técnicos amplos.
Foi justamente nessa quarta camada que o problema surgiu. O engenheiro de sistemas dessa empresa de manutenção possuía credenciais válidas para acessar o portal de suporte operacional de próxima geração (NGOSS) do fornecedor principal. Essas credenciais – apenas nome de usuário e senha – caíram nas mãos de criminosos e foram publicadas em um fórum clandestino.
Acesso sem barreiras: ausência de MFA como “backdoor global”
O ponto mais alarmante é que o portal NGOSS, responsável pelo controle operacional de mais de 200 aeroportos clientes, não exigia autenticação multifator (MFA). Em outras palavras, não havia uma segunda camada de verificação, como token, aplicativo autenticador ou biometria.
Isso significa que, na prática, qualquer pessoa que tivesse acesso a esse usuário e senha poderia entrar diretamente no painel de controle — um verdadeiro “mapa da mina” digital, concentrando informações e funções críticas da operação aeroportuária. Em um contexto de aviação, a falta de MFA num sistema tão sensível equivale a deixar a porta da sala de controle destrancada, contando apenas com a sorte para que ninguém tente abri-la.
O que poderia ser acessado e manipulado
Embora o relatório não detalhe todos os recursos visíveis no painel, a CloudSEK indica que o acesso permitiria interação com sistemas essenciais para o funcionamento diário dos aeroportos. A partir desse ponto, um criminoso poderia:
– interferir em sistemas de check-in;
– afetar o funcionamento das esteiras de bagagens;
– alterar parâmetros operacionais que impactam o fluxo de passageiros;
– potencialmente comprometer integrações com outros sistemas internos do aeroporto.
Essa superfície de ataque é especialmente perigosa porque concentra, em um único ponto, a operação de centenas de aeroportos distribuídos globalmente. Ou seja, a mesma credencial servia como chave de acesso para múltiplos alvos ao mesmo tempo.
Cenários de ataque e impactos operacionais
Com esse tipo de acesso, as possibilidades de dano vão muito além de questões puramente técnicas. Segundo a análise da CloudSEK, um invasor poderia provocar:
– paralisação do check-in, gerando filas gigantescas e cancelamentos em cadeia;
– interrupção ou desconfiguração das esteiras de bagagens, aumentando extravios e atrasos na entrega;
– desorganização do fluxo de passageiros em terminais, levando à superlotação em áreas específicas;
– impacto direto na experiência do cliente, com insatisfação generalizada e danos à reputação das companhias aéreas e dos aeroportos.
Do ponto de vista financeiro, o efeito dominó seria significativo:
– penalidades por atrasos de voos aplicadas por órgãos reguladores;
– perda de receita em lojas, restaurantes e lounges, devido à desorganização do fluxo de passageiros;
– custos extras com compensações, remarcações, hospedagem e atendimento a passageiros afetados;
– possíveis ações judiciais e questionamentos regulatórios sobre falhas de segurança.
Incidente de confiança, não ataque consumado
É importante destacar que, de acordo com a CloudSEK, o caso identificado expõe uma falha grave de confiança e de governança de segurança, mas não há evidências de que um ataque efetivo tenha sido executado a partir dessas credenciais. Em outras palavras, a brecha foi descoberta e reportada antes que criminosos explorassem o acesso em larga escala.
Ainda assim, o incidente funciona como um alerta contundente: a cadeia de fornecimento digital da aviação está vulnerável, e controles básicos de segurança — como MFA, revisão de privilégios e monitoramento de acessos — ainda não são adotados de forma universal, mesmo em sistemas considerados críticos.
Medidas emergenciais: revogação e implantação de MFA
Após a identificação do vazamento, as credenciais foram imediatamente revogadas, bloqueando o acesso indevido. Em paralelo, foi iniciada a implementação emergencial de autenticação multifator no portal NGOSS, para reduzir a possibilidade de que incidentes semelhantes se repitam.
Essa reação demonstra que, embora exista consciência reativa após a descoberta de falhas, a postura ainda é, em grande parte, curativa. O desafio para o setor é transformar medidas emergenciais em padrões mínimos e permanentes de segurança.
Recomendações: da auditoria à confiança zero
A CloudSEK recomenda uma mudança de mentalidade e de prática em toda a cadeia de fornecimento do setor de aviação. Entre as principais ações sugeridas estão:
– auditar regularmente todos os fornecedores e subcontratados, incluindo terceiras e quartas partes;
– exigir, contratualmente, o uso de autenticação multifator para qualquer acesso administrativo ou a sistemas sensíveis;
– adotar uma postura de confiança zero (zero trust), em que nenhum usuário ou sistema é considerado confiável por padrão;
– implementar acessos granulares e temporários, limitando privilégios ao mínimo necessário e por tempo determinado;
– monitorar continuamente logins suspeitos, anomalias de comportamento e tentativas de uso de credenciais fora de contexto.
Por que a aviação é um alvo tão atraente para cibercriminosos
A aviação reúne três elementos que a tornam altamente atrativa para invasores: criticidade, visibilidade e interdependência. Uma falha em um aeroporto importante ganha repercussão imediata, afeta milhares de pessoas e gera pressão por respostas rápidas, o que pode ser explorado em extorsões, chantagens ou ataques coordenados.
Além disso, o setor é intensivo em tecnologia: sistemas de reservas, controle de solo, logística de bagagens, manutenção, segurança, tudo é digitalizado e, muitas vezes, conectado a plataformas externas. Essa interconectividade amplia a superfície de ataque e torna a proteção dependente não só da segurança interna do aeroporto, mas da robustez de todos os seus parceiros tecnológicos.
O papel crítico da MFA em ambientes de alta criticidade
A ausência de MFA neste caso reforça uma lição que já deveria estar consolidada: senha, sozinha, não é mais suficiente. Em setores críticos como aviação, energia, saúde e finanças, a autenticação multifator precisa ser tratada como requisito mínimo, não como “melhoria opcional”.
Além da MFA tradicional (senha + token ou app autenticador), é recomendável combinar outros mecanismos, como:
– autenticação baseada em risco (aumentando as exigências se o login vier de local incomum ou dispositivo desconhecido);
– verificação de dispositivo gerenciado pela organização;
– uso de chaves físicas de segurança para acessos de alta criticidade.
Governança de terceiros: cláusulas de segurança não bastam no papel
Contratos com fornecedores costumam incluir cláusulas genéricas sobre segurança da informação, mas o caso mostra que isso é insuficiente. Mais do que exigir, é preciso verificar. Auditorias técnicas, testes de intrusão, revisões de arquitetura e avaliações de maturidade em segurança devem fazer parte do ciclo de relacionamento com parceiros.
Empresas de aviação e operadores aeroportuários precisam mapear com precisão:
– quais sistemas críticos dependem de fornecedores externos;
– quais níveis de acesso cada parceiro realmente possui;
– se há contas compartilhadas ou genéricas em uso;
– como são gerenciadas credenciais de funcionários de terceiras e quartas partes.
Sem essa visibilidade, fica impossível aplicar, de fato, o conceito de confiança zero.
O risco oculto das “quartas partes”
A maior parte das organizações já compreende que deve avaliar a segurança de seus fornecedores diretos (as terceiras partes). Porém, muitas ignoram o fato de que esses fornecedores também possuem seus próprios subcontratados, que, na prática, acabam tendo acesso indireto a sistemas críticos.
Esse incidente mostra que o risco pode estar exatamente nesse ponto cego: um técnico de uma empresa que o aeroporto nem sabe que existe, mas que detém acesso privilegiado a um painel central de operações. Mapear essas quartas partes, exigir requisitos mínimos de segurança também para elas e incluir esse nível na governança de riscos é um passo essencial.
Como o setor pode evoluir a partir desse caso
Este episódio tende a servir como divisor de águas para a segurança na aviação. Algumas mudanças que o setor precisa perseguir com urgência incluem:
– padronização de requisitos mínimos de segurança entre aeroportos e fornecedores de TI;
– criação de programas setoriais de avaliação de segurança de terceiros, com critérios comuns;
– maior compartilhamento de informações sobre vulnerabilidades e incidentes entre operadores, fornecedores e órgãos reguladores;
– estímulo à adoção de arquiteturas modernas, com segmentação de redes, microsegmentação e separação rigorosa entre ambientes administrativos e operacionais.
Lições práticas para gestores de segurança e tecnologia
Do ponto de vista de CISOs, CIOs e gestores de TI envolvidos com aviação ou setores críticos, algumas lições são imediatas:
– revisar todos os acessos remotos a sistemas operacionais;
– eliminar senhas fixas de alto privilégio sem MFA;
– criar processos de onboarding e offboarding de terceiros com revisão obrigatória de credenciais;
– definir métricas claras para acompanhar a redução de exposição a credenciais vazadas (por exemplo, tempo médio entre detecção e revogação).
Incorporar exercícios de simulação de vazamento de credenciais em planos de resposta a incidentes também ajuda a preparar equipes para agir rapidamente em situações semelhantes.
Segurança como parte do desenho do negócio, não como remendo
No fim, o caso dos 200 aeroportos em risco deixa evidente que segurança não pode ser tratada como um adendo técnico posterior. Ela precisa estar presente desde o desenho de contratos, da arquitetura dos sistemas e da escolha de parceiros.
Enquanto credenciais privilegiadas continuarem sendo concedidas sem MFA, sem monitoramento adequado e sem controles granulares de acesso, o setor de aviação continuará exposto a “backdoors globais” criados, muitas vezes, por uma única conta esquecida na borda da cadeia de fornecimento.
Transformar esse tipo de incidente em ponto de inflexão — e não apenas em mais um alerta ignorado — é, agora, uma questão de resiliência operacional e, em última instância, de segurança de toda a infraestrutura aeroportuária mundial.