Segundo ele, os problemas encontrados nem sempre eram aceitos quando reportados à Nasa e, em alguns casos, o retorno com feedback demorava semanas.
Em novembro de 2025, a agência reconheceu duas das 26 falhas de segurança identificadas por Carlos Eduardo em sistemas próprios.
Em uma das vulnerabilidades, ele afirma ter acessado um documento no Google Docs com um artigo científico que deveria estar restrito a funcionários da Nasa. Na outra, foi possível acessar informações sensíveis, como senhas (saiba mais abaixo).
Carlos Eduardo Zambelli Aloi acessou informações sensíveis da Nasa. — Foto: Arquivo pessoal e Reuters
Como resposta, Carlos recebeu uma carta de agradecimento assinada pela diretora de segurança da informação da Nasa, Tamiko Fletcher. Segundo ele, o reconhecimento não envolve recompensa financeira (leia a carta na íntegra).
“Para mim, é uma conquista pessoal, de testar até onde consigo ir e saber se estou no caminho certo. Isso reforça que meus estudos e o trabalho que venho fazendo na área estão dando resultado”, disse ao g1.
Procurada, a Nasa não quis comentar as descobertas do brasileiro por “questões de segurança”. Em nota, um porta-voz afirmou que a agência mantém um programa para o relato responsável de falhas encontradas por pesquisadores externos, aberto a qualquer pessoa.
Além dele, o g1 encontrou outros dois brasileiros que também foram reconhecidos pela agência norte-americana. Os nomes aparecem no site Bugcrowd, plataforma usada pela Nasa para receber relatórios de vulnerabilidades.
O g1 não conseguiu contato com eles até a publicação desta reportagem.
Tamiko Fletcher, diretora de segurança da informação da Nasa. — Foto: Divulgação/Nasa
Seis meses de tentativas até a carta
Os esforços de Carlos Eduardo começaram no meio do ano passado. A partir de novembro, ele intensificou as buscas, dedicando de três a quatro horas por dia (geralmente entre 21h e 2h da manhã) após o expediente de trabalho e as aulas da pós-graduação de cibersegurança ofensiva.
No primeiro teste, Carlos afirma ter acessado diretórios restritos e manipulado identificadores de login para baixar documentos internos. Segundo ele, chegou a obter permissão de edição em um artigo científico armazenado no Google Drive.
“Era um estudo sobre condições de vento solar e eventos magnéticos, possivelmente ligado à astronomia e à física espacial”, afirmou. “Eu entrei e inseri um link para um site falso. A partir daí, se quisesse, poderia roubar credenciais, como e-mails e senhas, de pessoas da Nasa.”
O arquivo, ao qual o g1 conseguiu visualizar parte, continha a mensagem “for more content click here:” (“para mais conteúdo, clique aqui:”), acompanhada do site falso criado por ele.
No segundo teste, o brasileiro afirmou ter encontrado uma pasta restrita com dados internos da Nasa, como repositórios de sistemas, credenciais de acesso (senhas) e endereços de IP usados pela agência. O material foi localizado após uma série de tentativas para mapear falhas na estrutura digital da instituição.
Segundo ele, foram usadas técnicas de reconhecimento e enumeração para identificar diretórios e pastas que não deveriam estar visíveis. Ao encontrar uma brecha, disse ter conseguido explorá-la como ponto de entrada para acessar outras áreas do sistema, até localizar a pasta restrita.
“Você encontra uma brecha, entra nela e descobre outra, avançando aos poucos”, explicou. “É como um rato procurando um caminho. Nesse processo, acabei chegando a informações muito sensíveis da infraestrutura interna deles.”
Segundo ele, a Nasa demorou a responder. O relatório sobre a vulnerabilidade ficou semanas em análise e o retorno só veio após a correção do problema.
“Você passa muito tempo testando, monta o relatório, envia e ele não é aceito ou a falha é considerada sem impacto. É frustrante ficar horas trabalhando e não receber retorno”, disse.
O g1 teve acesso a parte das evidências encontradas, mas a divulgação do material depende de autorização da Nasa. A liberação foi solicitada pelo brasileiro, mas não houve resposta até a publicação desta reportagem.
Mensagem da Nasa que pede autorização para divulgação de materiais — Foto: Reprodução/Nasa
Brasileiro trabalha com TI há mais de 20 anos
Carlos Eduardo vive em São Paulo e diz que trabalha com tecnologia da informação (TI) há mais de 20 anos. Ele atua na área de cibersegurança há cerca de uma década. Atualmente, é analista de sistemas sênior em uma das maiores redes de estacionamentos do Brasil.
Segundo ele, a persistência em buscar falhas nos sistemas da Nasa também foi influenciada por um momento pessoal delicado: a morte do pai, em outubro de 2025. Carlos afirma que o desafio técnico serviu como forma de distração durante o luto. “Eu me apoiei nisso para distrair a cabeça, porque é uma coisa que eu gosto de fazer”, disse.
Ele já tinha experiência em testes de invasão por meio de programas oferecidos por empresas, que convidam profissionais da área a buscar vulnerabilidades em seus sistemas. Segundo ele, em alguns desses casos há recompensas financeiras.
Receber um reconhecimento da Nasa, mesmo sem pagamento, era um objetivo pessoal. “Eu sempre quis ter essa carta. Acompanhava outras pessoas que recebiam esse reconhecimento depois de encontrar falhas. Eu queria muito isso”, contou.
A carta foi emitida em nome de “Kazam”, apelido que ele usa em comunidades de hacking (grupo de hackers) e que reúne “Kadu”, seu apelido, com o sobrenome Zambelli.
O feito também garantiu ao brasileiro um lugar na “hall da fama” da Nasa no site da Bugcrowd, plataforma de cibersegurança colaborativa usada pela agência para receber relatórios de falhas (veja na imagem abaixo).
Em nota, a Nasa confirmou que o Bugcrowd é o canal usado por pesquisadores para relatar vulnerabilidades em seus sistemas, com concessão de cartas de reconhecimento após a correção dos problemas, e que o “hall da fama” é gerenciado pela própria Bugcrowd.
Brasileiro aparece no “hall da fama” da Nasa no site da Bugcrowd. — Foto: Reprodução/Bugcrowd
O reconhecimento veio por meio da Vulnerability Disclosure Policy (Política de Divulgação de Vulnerabilidades), programa que conta com a ajuda de pesquisadores para identificar problemas de segurança em sistemas da agência, incluindo sites oficiais como nasa.gov e nsc.nasa.gov.
Em seu site, a Nasa informa que nem todos os relatórios resultam em uma carta de reconhecimento, chamada de “Letter of Recognition” (LOR). Segundo a agência, o documento é concedido apenas a relatórios validados, aceitos e confirmados como corrigidos (veja todas as regras aqui).
Na carta enviada ao brasileiro, a Nasa afirma que o relatório dele “contribuiu para ampliar a conscientização sobre vulnerabilidades que, de outra forma, poderiam permanecer desconhecidas, ajudando a proteger a integridade e a disponibilidade das informações da agência”.
Carlos diz conhecer outros brasileiros já reconhecidos pela Nasa e afirma que, após o reconhecimento, passou a receber mensagens de pessoas interessadas em participar do programa.
Carta da Nasa enviada ao Brasileiro Eduardo Zambelli Aloi — Foto: Arquivo pessoal/Eduardo Zambelli Aloi
“Administração Nacional da Aeronáutica e do Espaço
Sede da NASA Mary W. Jackson
Washington, DC 20546-0001
Em nome da Administração Nacional da Aeronáutica e do Espaço e da Política de Divulgação de Vulnerabilidades (VDP) da NASA, gostaríamos de reconhecer seus esforços como pesquisador independente de segurança, tanto na identificação da vulnerabilidade que você submeteu quanto no cumprimento da política e das diretrizes da VDP da NASA ao reportá-la de forma responsável.
A capacidade de detectar e relatar vulnerabilidades de segurança é uma habilidade valiosa na indústria de segurança da informação. Seu relatório contribuiu para ampliar a conscientização da NASA sobre vulnerabilidades que, de outra forma, poderiam permanecer desconhecidas, e nos ajudou a proteger a integridade e a disponibilidade das informações da NASA.
Por favor, aceite esta carta como um sinal de nossa apreciação por seus esforços na detecção dessa vulnerabilidade, contribuindo para que a NASA possa continuar avançando nas áreas de ciência, tecnologia, aeronáutica e exploração espacial, com o objetivo de ampliar o conhecimento, a educação, a inovação, a vitalidade econômica e a preservação da Terra. Estamos todos juntos nisso como uma comunidade de segurança, e sua participação e expertise são dignas de reconhecimento.
Atuante como Diretora Sênior de Segurança da Informação da Agência (SAISO)
Escritório do Diretor de Informação da NASA (OCIO)
Política de Divulgação de Vulnerabilidades da NASA (VDP)
“A NASA reconhece que vulnerabilidades externas podem ser descobertas por qualquer pessoa a qualquer momento e criou a Política de Divulgação de Vulnerabilidades para que pesquisadores de segurança relatem de boa-fé as vulnerabilidades que descobriram. Relatórios de vulnerabilidades pelo canal oficial são reconhecidos, e pesquisadores de segurança podem ser contatados durante a remediação. Por questões de segurança, não é apropriado que a NASA comente relatórios específicos. Por favor, entre em contato com a Agência de Segurança de Cibersegurança e Infraestrutura para obter informações adicionais sobre sistemas federais. – Porta-voz”
Ferramenta gratuita da rede social X tem sido usada para criar imagens íntimas falsas
Cerco ao ‘gatonet’ derruba milhares de sites e apps piratas no Brasil
Crise da memória RAM pode deixar celulares, notebooks e até carros mais caros no Brasil
