Um erro aparentemente trivial em um certificado TLS levou pesquisadores de segurança a uma descoberta alarmante: centenas de painéis de controle de sistemas de abastecimento de água nos Estados Unidos estavam acessíveis diretamente pela internet — e dezenas deles permitiam controle total, sem qualquer senha, sobre bombas, válvulas e dosadores químicos.

A origem da descoberta

A investigação começou em outubro de 2024, quando a equipe de pesquisa da Censys realizava uma varredura rotineira em sistemas de controle industrial e identificou certificados contendo a palavra “SCADA” — sigla para Supervisory Control and Data Acquisition, comumente associada a ambientes industriais automatizados. Esse detalhe os levou a uma plataforma HMI (interface homem-máquina) baseada em navegador, rara e padronizada, presente em diversos sistemas.

Curiosos, os pesquisadores coletaram capturas de tela dos endereços IP identificados e se depararam com telas ao vivo de estações de tratamento de água: níveis de tanques variando em tempo real, bombas de cloro sendo ativadas e alarmes piscando.

Riscos graves à infraestrutura pública

Analisando mais a fundo, descobriram que todos os sistemas afetados utilizavam o mesmo modelo de servidor web gerado automaticamente pelo software HMI. Os pesquisadores organizaram as informações em uma planilha contendo produto, responsável e localização — e confirmaram que os sistemas pertenciam a instalações públicas de água.

Segundo a Censys, os sistemas encontrados se dividiam em três categorias:

• Autenticado: exigia credenciais;
  
• Somente leitura: visível, mas sem controle;
  
• Não autenticado: acesso completo sem senha.
  

“Encontramos 40 sistemas totalmente desprotegidos, controláveis por qualquer pessoa com um navegador,” alertou a empresa.

Ação rápida e resposta positiva

Como os alvos eram serviços públicos, a Censys optou por não seguir o processo tradicional de notificação individual. Em vez disso, enviou um relatório coletivo para a Agência de Proteção Ambiental dos EUA (EPA) e para o fornecedor do software HMI, que não foi identificado.

A planilha entregue incluía IPs, portas, localização e o estado de segurança de cada sistema. Em apenas nove dias, a EPA informou que 24% dos sistemas expostos haviam sido protegidos. Um mês depois, com a emissão de orientações sobre autenticação multifator e controle de acesso, esse número saltou para 58%.

“Começamos com mais de 300 sistemas vulneráveis em outubro de 2024. Em nosso último escaneamento, em maio de 2025, esse número caiu para menos de 20. Ainda não é zero, mas é o tipo de resposta que os profissionais de segurança esperam alcançar,” destacou a equipe da Censys.

Alerta do governo e riscos cibernéticos

No final de 2024, o governo dos EUA emitiu um alerta urgente para que organizações do setor de água e esgoto reforçassem a segurança de HMIs expostas à internet. Essas interfaces — como telas sensíveis ao toque ou painéis de controle remotos — permitem que operadores supervisionem e controlem sistemas SCADA, essenciais para o funcionamento de infraestrutura crítica.

Segundo um informe conjunto da EPA e da CISA (Agência de Segurança Cibernética dos EUA), HMIs expostas podem permitir que agentes mal-intencionados obtenham informações confidenciais ou interfiram diretamente nos sistemas de controle industrial (ICS).

“Criminosos cibernéticos têm demonstrado capacidade para localizar e explorar HMIs expostas com vulnerabilidades. Em 2024, ativistas pró-Rússia manipularam essas interfaces em sistemas de água e esgoto, fazendo com que bombas e sopradores operassem fora dos padrões normais,” alertaram as agências.

Para saber mais, clique aqui.