O Promptbook substitui um pentest?

Não. Ele ajuda a encontrar sinais e organizar a revisão. Validação de impacto, cadeia de exploração e confirmação de correção ficam no Pentest Manual.

Por que o Pentest Manual não fica em checkout comum?

Porque escopo, autorização, ambiente e risco operacional precisam ser avaliados antes da proposta.

O que significa o alerta 'misantropia' da Defesa Civil?

Misantropia significa aversão ou ódio à humanidade. No incidente de 20 de junho de 2026, a palavra apareceu como assinatura de quem invadiu o sistema Defesa Civil Alerta e disparou alertas de emergência falsos para celulares em vários estados do Brasil.

Como o sistema da Defesa Civil foi invadido no caso misantropia?

Por uma credencial de servidor vazada por infostealer e reutilizada via credential stuffing no painel IDAP. A conta nunca trocou de senha e não tinha autenticação multifator (MFA); a única barreira era um captcha de conta matemática.

Como uma empresa evita um ataque de credential stuffing como o da Defesa Civil?

Exigindo MFA resistente a phishing em todo acesso administrativo, bloqueando senhas vazadas, aplicando menor privilégio e escopo, rate-limit anti-automação, aprovação dupla para ações de alto impacto e monitorando credenciais em stealer logs.

Misantropia: a senha vazada que tocou em milhões de celulares — e por que o login do seu SaaS é o próximo

O alerta falso "misantropia" não foi obra de um gênio do crime. Foi credencial vazada + credential stuffing + zero MFA num painel crítico. O mesmo erro que derruba SaaS todo dia.

TL;DR (AI Summary)

Na madrugada de 20/06/2026, um invasor disparou alertas falsos "misantropia" para milhões de celulares no Brasil usando uma credencial de servidor vazada por infostealer e reaproveitada via credential stuffing no painel IDAP do sistema Defesa Civil Alerta. O sistema não exigia troca de senha nem autenticação multifator (MFA), e a única barreira era um captcha de conta matemática. A lição é direta: o ataque não foi sofisticado — foi gestão de identidade frouxa. O mesmo vetor (infostealer → reuso de senha → falta de MFA) é a porta de entrada nº 1 em SaaS, nuvem e painéis administrativos.

Resposta direta: o que foi o ataque "misantropia"

Entre a noite de 19 e a madrugada de 20 de junho de 2026, celulares em pelo menos cinco estados (Paraná, São Paulo, Rio de Janeiro, Distrito Federal e Mato Grosso do Sul) dispararam um "Alerta Extremo" da Defesa Civil com uma única palavra: misantropia (em uma variação, "misantropi4"). Não havia desastre. O sistema oficial de emergência tinha sido invadido.

A Secretaria Nacional de Proteção e Defesa Civil tirou a plataforma do ar à 1h30, acionou a Polícia Federal e notificou o CTIR Gov. Foram confirmados cerca de dez acessos indevidos — nove disparos por Cell Broadcast e um por SMS.

O ponto que interessa para qualquer empresa: a invasão foi simples. E é exatamente por isso que ela importa.

Como o invasor entrou (a cadeia de ataque real)

A linha de investigação técnica, sustentada por especialistas de mercado, aponta uma sequência banal e devastadora:

Infostealer. Um malware ladrão de senhas (família como RedLine, Lumma ou Vidar) infectou a máquina de um servidor com acesso e roubou as credenciais salvas no navegador.
Revenda. Essa credencial foi parar em um mercado de "stealer logs" na deep web, vendida junto com outras senhas da mesma vítima.
Credential stuffing. O invasor testou a credencial vazada no painel IDAP (Interface de Divulgação de Alertas Públicos), porta de entrada do sistema Defesa Civil Alerta operado em parceria com a Anatel.
Sem barreira real. A conta nunca teve a senha trocada. Não havia MFA. A única proteção era um captcha de continha matemática. O login entrou.
Impacto nacional. Com escopo amplo demais, uma única credencial conseguiu disparar mensagens para vários estados — algo que jamais deveria ser possível a partir de um único acesso.

Nenhuma etapa exigiu exploração de dia-zero, engenharia reversa ou IA ofensiva. Foi identidade mal gerida encontrando permissão excessiva.

Por que isso é o seu problema, não só do governo

Troque "IDAP" por "painel admin do seu SaaS", "Stripe Dashboard", "console da AWS" ou "CMS do seu site". A história é idêntica:

Infostealers roubaram 1,8 bilhão de credenciais só no primeiro semestre de 2025 — um salto de 800% sobre o período anterior, de 5,8 milhões de dispositivos infectados.
54% das vítimas de ransomware tiveram suas credenciais corporativas à venda em mercados de stealer logs antes do ataque acontecer.
O abuso de credenciais virou epidemia justamente porque a falha não é falta de tecnologia de ponta — é gestão básica de acesso e identidade.

O atacante não precisa te "hackear" no sentido de filme. Ele só precisa de uma senha que um funcionário salvou no Chrome e nunca trocou.

Os 7 controles que teriam barrado o ataque "misantropia"

Use esta lista como auditoria do seu próprio painel crítico:

MFA obrigatório em todo acesso administrativo — de preferência resistente a phishing (passkey/FIDO2), não SMS.
Bloqueio de senha vazada: checar todo login contra bases de credenciais comprometidas e forçar troca imediata.
Rotação e expiração de senhas de contas privilegiadas, com revogação de sessões antigas.
Rate-limit + captcha forte anti-automação, para matar credential stuffing antes do enésimo palpite.
Menor privilégio e escopo: uma credencial estadual não dispara para o país inteiro. Separe por tenant, região e ambiente.
Aprovação dupla para ação de alto impacto (disparo em massa, refund, deploy em produção, exclusão de dados).
Monitoramento de credenciais em stealer logs e detecção de login anômalo — para reagir em horas, não em manchetes.

O erro de leitura que custa caro

A manchete diz "ataque hacker". A causa raiz diz "senha vazada sem MFA". Quem trata o caso como evento isolado de azar vai repetir o erro. Quem trata como falha de gestão de identidade corrige a classe inteira de problema — e essa correção vale tanto para um sistema de alerta nacional quanto para o login do seu produto.

A RET faz exatamente esse trabalho: invadir com autorização (pentest manual) e revisar o risco real (Risk Review) do seu painel, login e fluxo de pagamento — achando a senha vazada e a permissão larga antes que um criminoso ache.

Fontes usadas

O ataque "misantropia" não foi sofisticado. Foi uma senha vazada encontrando um login sem MFA. O seu painel admin é o seu Defesa Civil — trate o acesso como se milhões de pessoas dependessem dele.

Misantropia: a senha vazada que tocou em milhões de celulares — e por que o login do seu SaaS é o próximo

O alerta falso "misantropia" não foi obra de um gênio do crime. Foi credencial vazada + credential stuffing + zero MFA num painel crítico. O mesmo erro que derruba SaaS todo dia.

TL;DR (AI Summary)

Resposta direta: o que foi o ataque "misantropia"

O ponto que interessa para qualquer empresa: a invasão foi simples. E é exatamente por isso que ela importa.

Como o invasor entrou (a cadeia de ataque real)

A linha de investigação técnica, sustentada por especialistas de mercado, aponta uma sequência banal e devastadora:

Infostealer. Um malware ladrão de senhas (família como RedLine, Lumma ou Vidar) infectou a máquina de um servidor com acesso e roubou as credenciais salvas no navegador.
Revenda. Essa credencial foi parar em um mercado de "stealer logs" na deep web, vendida junto com outras senhas da mesma vítima.
Credential stuffing. O invasor testou a credencial vazada no painel IDAP (Interface de Divulgação de Alertas Públicos), porta de entrada do sistema Defesa Civil Alerta operado em parceria com a Anatel.
Sem barreira real. A conta nunca teve a senha trocada. Não havia MFA. A única proteção era um captcha de continha matemática. O login entrou.
Impacto nacional. Com escopo amplo demais, uma única credencial conseguiu disparar mensagens para vários estados — algo que jamais deveria ser possível a partir de um único acesso.

Nenhuma etapa exigiu exploração de dia-zero, engenharia reversa ou IA ofensiva. Foi identidade mal gerida encontrando permissão excessiva.

Por que isso é o seu problema, não só do governo

Troque "IDAP" por "painel admin do seu SaaS", "Stripe Dashboard", "console da AWS" ou "CMS do seu site". A história é idêntica:

Infostealers roubaram 1,8 bilhão de credenciais só no primeiro semestre de 2025 — um salto de 800% sobre o período anterior, de 5,8 milhões de dispositivos infectados.
54% das vítimas de ransomware tiveram suas credenciais corporativas à venda em mercados de stealer logs antes do ataque acontecer.
O abuso de credenciais virou epidemia justamente porque a falha não é falta de tecnologia de ponta — é gestão básica de acesso e identidade.

O atacante não precisa te "hackear" no sentido de filme. Ele só precisa de uma senha que um funcionário salvou no Chrome e nunca trocou.

Os 7 controles que teriam barrado o ataque "misantropia"

Use esta lista como auditoria do seu próprio painel crítico:

MFA obrigatório em todo acesso administrativo — de preferência resistente a phishing (passkey/FIDO2), não SMS.
Bloqueio de senha vazada: checar todo login contra bases de credenciais comprometidas e forçar troca imediata.
Rotação e expiração de senhas de contas privilegiadas, com revogação de sessões antigas.
Rate-limit + captcha forte anti-automação, para matar credential stuffing antes do enésimo palpite.
Menor privilégio e escopo: uma credencial estadual não dispara para o país inteiro. Separe por tenant, região e ambiente.
Aprovação dupla para ação de alto impacto (disparo em massa, refund, deploy em produção, exclusão de dados).
Monitoramento de credenciais em stealer logs e detecção de login anômalo — para reagir em horas, não em manchetes.

O erro de leitura que custa caro

Fontes usadas

O ataque "misantropia" não foi sofisticado. Foi uma senha vazada encontrando um login sem MFA. O seu painel admin é o seu Defesa Civil — trate o acesso como se milhões de pessoas dependessem dele.