Córtex - Sistema crítico pode ter vazado informações de muitos brasileiros.

É isso! Dados críticos dos brasileiros vazam para a mão de bandidos …

Coisas como local, informações financeiras, bens, familia e com a possibilidade de monitorar onde cada um andou e costuma ir estão disponíveis no sistema Córtex do Ministério da Justiça e Segurança Pública.

Se você acha que vazou só seu e-mail e CPF, esquece. O Córtex é o "Big Brother" federal, um sistema que centraliza informações críticas de segurança pública, mas que, na prática, virou um dossiê aberto sobre a vida de milhões de brasileiros.

O poder dessa plataforma não está só no que ela armazena, mas na capacidade de fazer cruzamento de dados (Data Enrichment) entre diversas fontes (Detrans, Receita Federal, Polícias, etc.).

O que o Córtex armazena ou consegue cruzar (e o que foi exposto):

1. Rastreamento e Localização Detalhada

• LPR (Leitura de Placas): Rastreamento de veículos em tempo real, permitindo mapear rotas, horários e locais de frequência (trabalho, escola, casa de parentes).
• Endereços e Imóveis: Informações detalhadas sobre residências, propriedades e bens.Risco Direto: Mapeamento completo da rotina e vulnerabilidades de localização para fins de sequestro, assalto planejado ou invasão de propriedade.

2. Identificação e Vínculos Sociais

• Identificação Civil Completa: CPFs (a chave mestra da busca), RGs, Títulos de Eleitor, dados biométricos.
• Vínculos Familiares e Sociais: Mapeamento de parentesco e relações próximas com endereços associados.Risco Direto: Criação de perfis perfeitos para ataques de engenharia social (Phishing e Vishing) e chantagem, utilizando nomes e informações familiares para ganhar confiança.

3. Bens e Histórico de Movimentação

• Informações de Veículos: Propriedade, multas, histórico de passagem em pedágios ou câmeras de LPR.
• Dados Financeiros (Indiretos): A capacidade de cruzar bens (carros, imóveis) com a rotina diária permite traçar um perfil socioeconômico de alto valor para o crime organizado.

Em Resumo: O vazamento transformou essa ferramenta de "inteligência" em um catálogo de vulnerabilidades. Não vazou a lista telefônica; vazou o manual de instruções para atacar 1/3 do Brasil.

Para provar que o sistema era uma "mãe", surgiu agora a investigação sobre o Governo do Rio de Janeiro (conforme noticiado pela Conjur e Folha).

O estado está sendo investigado por ter suas chaves de autenticação usadas para realizar 213 milhões de buscas.

Vamos aos números para você entender o absurdo:

• População do Rio de Janeiro: ~16 milhões.
• Consultas realizadas: 213 milhões.
• Cerca de 1 / 3 dos CPFs brasileiros foram usados para consultas.

A pergunta técnica que fica:

Como um sistema de inteligência permite que uma entidade estadual consulte 4x mais CPFs do que a sua própria população sem que um alarme vermelho comece a piscar no painel de controle?

Isso confirma que não existia Detecção de Anomalia (Anomaly Detection), pelo menos não em tempo factivel visto que o alerta apareceu cerca de 1 ano depois do início do problema. O sistema aceitou passivamente um dump massivo de dados, provavelmente usado para fins que fogem totalmente da segurança pública (espionagem política? Dossiês? Venda de dados?).

Um detalhe é que tem registros do uso do sistema pelo PCC e provavelmente outros grupos podem ter usado para cometer crimes.

A "Segurança" Nível Starup do sobrinho

Agora vem a parte que faz qualquer Junior chorar no banho. O sistema foi explorado com falhas que beiram o ridículo:

1. Autenticação baseada na "Honra"

O sistema permitia que o usuário informasse o próprio CPF para se autenticar.

Isso mesmo. O client mandava o CPF e o servidor dizia "ok, acredito em você". Os criminosos usaram 69,2 milhões de CPFs diferentes para realizar as buscas.

Lição 1: Never Trust User Input. Jamais. Validar identidade baseada em parâmetro de requisição sem verificação forte é pedir para ser invadido.

2. Zero Rate Limiting (O "Datena" da TI)

Foram 213 milhões de buscas no total.

O caso do Rio de Janeiro (70 milhões) é a prova cabal da inexistência de Rate Limiting.

Qualquer API decente tem limites por:

• IP
• Token/Chave
• Geolocalização
• Volume/Tempo (ex: 100 requests/minuto)

No Córtex, era open bar. Um loop for mal intencionado conseguia extrair o Brasil inteiro.

3. A API Key Solitária

O acesso parecia depender de uma API Key simples, sem rotação, sem contexto e, aparentemente, sem verificação de origem (como IP ou VPN obrigatória). Se você tem a chave, você é Deus no sistema.

4. Falta de 2FA

Em 2025, um sistema que guarda a vida da nação não ter Autenticação de Dois Fatores obrigatória (e de preferência física, via token de hardware) é injustificável.
 

Realmente precisamos de um sistema de monitoramento?

Ter um sistema de monitoramento permite que os orgão de segurança atuem de forma precisa evitando crimes e prendendo suspeitos mas gera grandes riscos como o da perda de privacidade e monitoramento de qualquer pessoa.

Acho que deveria ter mais discussão sobre a adoção desse tipo de sistema, quais são seus limites e regras de uso, algo que não vi acontecer no caso do Córtex.

As falhas apresentadas pelos jornalistas seriam resolvidas facilente caso existisse alguma auditoria pois são coisas básicas.

Ainda temos que considerar o auto indice de corrupção na área de segurança nas diferentes instituições do Brasil e a falta de limitações do sistema. 
Por exemplo: algum profíssional corrupto no Acre pode aparentemente ter acesso a dados de pessoas em Porto Alegre (e vende-los) para qualquer corruptor.

A falta de segurança aparente é tanta que imagino que algumas empresas internacionais de segurança podem ter acessos ilegais ao Córtex como a Palantir, empresa de monitoramento dos US.

Acredito que hoje os riscos são maiores que os ganhos mas quando as brechas de segurança forem resolvidas, limites de acessos adicionandos e maior monitoramento do uso pode ser que faça sentido ter um sistema tão poderoso no Governo.

Não seja a TI do Governo!

O estrago está feito. Seus dados provavelmente já estão em algum .csv ou banco de dados à venda na dark web.

Para nós, desenvolvedores, fica o alerta máximo: Segurança não é feature, é requisito. Principalmente quando falamos de sistemas críticos.

Se você está construindo uma API hoje:

1. Implemente Rate Limiting (use Redis, use o gateway, mas use).
2. Nunca confie no ID que o front-end manda sem validar o token de sessão.
3. Monitore anomalias. Se um usuário do Rio de Janeiro tenta baixar os dados de metade do Brasil, bloqueie primeiro, pergunte depois.

Não cometa os erros do Córtex. O Brasil já tem amadores demais cuidando da nossa segurança.
 

Links e referências:

• https://www.conjur.com.br/2025-nov-23/governo-do-rio-e-investigado-por-uso-de-cpfs-em-sistema-de-inteligencia/ 

• https://www.dataprivacybr.org/por-que-precisamos-rever-o-uso-do-cortex-no-brasil/ 

• https://www.intercept.com.br/2020/09/21/governo-vigilancia-cortex/