Por Alisson, PR7GA
Vimos nos últimos meses e semanas uma sucessão de notícias aqui no QTC da ECRA envolvendo a ANATEL que chama a atenção. Em pouco mais de um mês, o radioamadorismo brasileiro foi virado de cabeça para baixo com novas normas, novos sistemas e cancelamento de outros, e agora, a confirmação oficial de um vazamento de dados que parece ter sido muito maior do que o anunciado.
AVISO: Em respeito aos usuários cujos dados foram expostos, não iremos disponibilizar nenhum link ou detalhar como é possível obter os dados. Esta matéria foi escrita com o intuito de ALERTAR aos órgãos competentes para que tomem ações concretas e urgentes para fechar as brechas aqui denunciadas. Antes da sua publicação neste site, foram protocoladas denúncias formais junto à ANATEL e à ANPD contendo o inteiro teor desta matéria.
Vimos nos últimos meses e semanas uma sucessão de notícias aqui no QTC da ECRA envolvendo a ANATEL que chama a atenção. Em pouco mais de um mês, o radioamadorismo brasileiro foi virado de cabeça para baixo com novas normas, novos sistemas e cancelamento de outros, e agora, a confirmação oficial de um vazamento de dados que parece ter sido muito maior do que o anunciado.
O anúncio sobre a falha de segurança foi publicado no endereço https://apps.anatel.gov.br/EASP/, que antes dava acesso ao sistema EASP, utilizado corriqueiramente pelos radioamadores para consultar indicativos e certificados, além de outros dados. Salvamos uma cópia do anúncio para o caso da página sair do ar. Acesse aqui.
A Agência admite o vazamento de dados sigilosos (nome e CPF) por meio de acesso indevido à sua base de dados em 18/03/2026:
O incidente envolveu a consulta não autorizada a dados pessoais de certificado concedido a radioamadores em 25/07/2025: nome e CPF. Ressaltamos que os relatórios oficiais somente disponibilizam os seguintes dados: CPF mascarado, Nome, Classe, Data de início, Validade do COER e Status do COER. Entretanto, a consulta não autorizada atingiu a base de dados. Fonte: https://apps.anatel.gov.br/EASP/; Acesso em 16/04/2026 15:55.
Porém, segundo relatos exclusivos recebidos pelo QTC da ECRA, a extensão do vazamento teria sido muito, muito, MUITO maior, incluindo, possivelmente, outras pessoas titulares de outros serviços de telecomunicações.
Este incidente soma-se ao outro vazamento de dados informado pelo QTC da ECRA com exclusividade há alguns dias, quando o sistema MMAR foi finalmente disponibilizado para acesso pelo público. Na ocasião, qualquer usuário poderia acessar dados de outros usuários simplesmente manipulando o endereço (URL) do sistema MMAR, dando acesso indevido a nomes, CPFs, endereços, e muito mais. Menos de 24h após o sistema ter sido lançado, em 07/04/2026, ele foi retirado do ar, só retornando após sete dias, em 14/04/2026. Felizmente a brecha de segurança foi fechada, muito embora outros problemas relatados por nós e por outros usuários continuem sem solução no novo sistema.
O problema parece ser pior
Os problemas de segurança envolvendo o MMAR e o EASP não são os únicos. Neste exato momento, dados de milhares de pessoas estão completamente expostos no sistema SEI da ANATEL, utilizado para peticionamentos diversos do cidadão para a Agência. Separamos alguns exemplos abaixo para que o leitor entenda a extensão do problema. Os mesmos nos foram enviados por um colega experiente nos sistemas e processos da ANATEL, o qual solicitou anonimato.
1. Planilhas contendo dados de TODAS as repetidoras brasileiras
Indicativo, validade da licença, frequências, altitude, coordenadas geográficas, município e UF de todas as repetidoras brasileiras expostos em planilhas com acesso livre. O print abaixo é de uma planilha produzida no âmbito de um pedido de licença de repetidora para o Serviço Radioamador. É possível que existam outras planilhas semelhantes disponíveis publicamente no SEI, estando indevidamente indexadas e acessíveis a qualquer usuário na pesquisa pública do sistema.
Embora não contenham dados pessoais, a localização geográfica precisa dessas estações pode colocar em risco a segurança das mesmas, já que frequentemente as repetidoras são instaladas em locais isolados e contém equipamentos de valor considerável.
 |
| Print da planilha com dados de milhares de repetidoras. Note a data (15 de março de 2026) e a quantidade de páginas (50) para ter ideia da quantidade de dados expostos. |
 |
| Página do processo onde pode ser encontrada a planilha com os dados das repetidoras brasileiras. Note a data e também a planilha exposta com o nome de "Relatório". Apenas os documentos com o ícone de cadeado amarelo são restritos. Os demais são de acesso livre.. |
2. Dados pessoais expostos em processos de licenciamento/outorga.
Diariamente dezenas de radioamadores e candidatos ao radioamadorismo peticionam à agência por inúmeros motivos. Em vários deles, seja por culpa do próprio usuário, seja também por falha da própria agência, como podemos verificar abaixo, documentos contendo dados pessoais estão expostos há ANOS, ininterruptamente. Note que o campo onde lemos "Licença" tem um link aberto, o qual pode ser verificado pela cor azul, indicando que está público. Como se trata de uma licença, o envio e disponibilização pública indevida foi feito pela Agência.
 |
| Página de um dos inúmeros processos com documentos pessoais expostos. Note a data (agosto de 2017, há quase 9 anos!) e o documento exposto (licença, que contém endereço, nome completo e CPF do titular). |
 |
| Print de um processo de março de 2026 contendo mais uma licença exposta. Note que há documentos restritos (ícone de cadeado amarelo indica isso), igualmente disponibilizados pela Agência. Por que não restringiram o acesso à licença também? |
3. Dados expostos de mais de 211 mil usuários
Este talvez tenha sido a maior exposição em termos de volume de dados. No ano passado, o QTC da ECRA foi contactado por um colega preocupado com um grande vazamento de dados em um documento público disponível no SEI. Ele relatou que encontrou casualmente um documento contendo dados de mais de 211 mil pessoas, incluindo nome, CPF e email, conforme pode ser visto no print que nos foi enviado:
 |
| Print da planilha contendo, nesta ordem, email, CPF e nome de exatos 211.662 usuários. |
Ele relatou que, tão logo detectou a falha de segurança, avisou à ANATEL por email em 16/06/2025. Somente em 15/08/2025, portanto dois meses depois, o referido documento foi efetivamente "tirado do ar" por meio de determinação do responsável dentro da Agência. Durante pelo menos dois meses, sem contar o tempo anterior à sua descoberta por parte do colega, o documento esteve disponível publicamente no sistema SEI, bastando uma simples busca para ser encontrado. Felizmente esta brecha foi fechada.
Conclusão
O QTC da ECRA não está interessado em dados pessoais de ninguém. Porém, pessoas mal intencionadas podem "se fartar" de dados disponibilizados indevidamente no sistema SEI da ANATEL. Também não estamos interessados em prejudicar quem quer que seja, muito menos a instituição citada. Esperamos que os problemas relatados sejam devidamente tratados e sanados o mais rápido possível.
Estamos de olho!
Receba em primeira mão as notícias publicadas no QTC da ECRA!
Se você usa Whatsapp, acesse ZAP.ECRA.CLUB
Se você usa Telegram, acesse TELEGRAM.ECRA.CLUB
Ou siga o QTC da ECRA no Twitter: TWITTER.COM/QTCECRA
Ou siga o QTC da ECRA no Twitter: TWITTER.COM/QTCECRA
Postar um comentário