Por Alisson, PR7GA
A ANATEL disponibilizou hoje (07/04/2026) para o público, finalmente, o sistema MMAR-Radioamador. Anunciado em uma live há exatos 31 dias, em 06/03/2026, só agora a Agência coloca no ar o sistema que, segundo alegado no material de divulgação oficial, "permitirá que os próprios interessados façam seus pedidos diretamente na plataforma, acompanhem a tramitação em tempo real e emitam a licença ao final do processo", dentre outras funcionalidades anunciadas.
ATENÇÃO! Esta matéria estará em constante atualização caso sejam detectadas novas falhas.
ATUALIZAÇÃO 08/04/2026: Após a ampla repercussão desta matéria, a ANATEL RETIROU DO AR o sistema MMAR-Radioamador na manhã de hoje. Esperamos que resolvam os inúmeros problemas que o sistema está apresentando, especialmente o vazamento de dados sigilosos. Esta matéria, contudo, será mantida em sua íntegra para que fiquem registrados os problemas apontados para que possamos comprovar a sua resolução quando o sistema retornar.
________________________________________________________________
A ANATEL disponibilizou hoje (07/04/2026) para o público, finalmente, o sistema MMAR-Radioamador. Anunciado em uma live há exatos 31 dias, em 06/03/2026, só agora a Agência coloca no ar o sistema que, segundo alegado no material de divulgação oficial, "permitirá que os próprios interessados façam seus pedidos diretamente na plataforma, acompanhem a tramitação em tempo real e emitam a licença ao final do processo", dentre outras funcionalidades anunciadas.
Porém, em testes feitos por usuários, o sistema mostra resultados inconsistentes e inúmeras falhas. Mesmo com um lapso de tempo considerável desde seu anúncio, já que, na ocasião, foi dito que o sistema estaria pronto para uso em produção, faltando apenas a publicação do ATO para dar-lhe base legal para entrar em funcionamento. Veja alguns dos problemas encontrados:
1. Módulo de consulta de indicativos mostra resultados incorretos
No print acima, na aba "Opções", vemos dois módulos. "Consultar indicativo" permitiria consultar a validade ou a vacância de indicativos, mas está retornando resultados inválidos (indicativos ocupados como se estivessem vagos). O outro, "Consultar estação", também está com problemas. Ao pesquisar um indicativo, ele retorna sempre "Nenhuma repetidora encontrada", mesmo se pesquisado um indicativo válido de alguma repetidora.
2. Licenças impressas com dados faltando
Usuários relatam que suas licenças estão sendo impressas SEM a autorização para operar satélites de radioamador. Porém, esta autorização constava nas licenças impressas no sistema SCRA. Veja abaixo.
3. Solicitação de nova estação não funciona
Talvez a principal funcionalidade do MMAR-Radioamador não está funcionando. Ao solicitar nova licença, o sistema não emite o "token" que é o código enviado por email para validar o pedido. Assim, não é possível prosseguir.
Mas a coisa ainda piora... Se digitado o código "0000" o sistema ACEITA prosseguir, o que é uma GRAVE falha de segurança!
4. Vazamento de dados pessoais
Um dos usuários descobriu que o sistema revela o CPF do titular da estação quando o indicativo é buscado, o que é gravíssimo.
Usando o módulo de consulta de indicativo, o colega pesquisou o indicativo deste que vos escreve (PR7GA), e foi possível visualizar o meu CPF inúmeras vezes utilizando uma ferramenta que está presente nos principais navegadores. Qualquer um com conhecimento mediano poderia obter dados de TODOS os radioamadores brasileiros que desejasse. Isto é MUITO grave!
Mas fica pior...
No print acima, vemos uma IARP de um radioamador brasileiro. Note que nela consta nome e endereço do titular. Ela foi obtida de maneira muito simples, fazendo uma manipulação do ID com a URL do link.
Mas o que seria este "ID"?
Como relata o colega PU2WHM, que descobriu esta falha, "Toda estação possui um ID. Toda operação como exibir os detalhes de uma licença ou gerar o IARP usam este ID. Mas as operações não possuem o tratamento de segurança para verificar se o usuário logado possui ou não acesso aquele ID. Portanto, alterando os IDs nas URLs é possível acessar licenças e executar operações em nome de terceiros, como solicitar uma IARP."
"Além do mais", continua o Henrique, "este ID possui um padrão conhecido no mercado, provavelmente o ID de um banco MongoDB, o que facilita a exploração. Até porque este tipo de ID possui uma parte que é sequencial, e como a importação de dados (provavelmente) ocorreu em um único momento, é possível listar vários IDs válidos."
Mas atenção: assim como foi obtida a IARP, também é possível descobrir TODOS OS DADOS dos usuários, bastando inserir o ID correspondente em outras URLs do sistema.
5. Dados de licença acessados via QRCODE completamente errados
Agora é possível emitir um QRCODE para validar a estação. Porém o sistema mostra que minha estação não seria de Radioamador, mas do Serviço Limitado Móvel Aeronáutico! Veja:
Conclusão
Conforme vimos acima, o sistema MMAR-Radioamador foi disponibilizado ao público antes de sua conclusão, apresentando diversas falhas, algumas de elevada gravidade por colocarem em risco a segurança de dados pessoais dos usuários. Diante disso, é imprescindível que a ANATEL adote, com urgência, as medidas necessárias para corrigir ao menos essa potencial exposição de dados, sob pena de sujeitar-se às sanções cabíveis.
Caso tais problemas não possam ser solucionados em curto prazo, recomenda-se a imediata suspensão do sistema, a fim de evitar prejuízos aos usuários decorrentes de eventuais vazamentos de informações.
Sugerimos aos colegas que reclamem perante à Agência por meio do sistema Anatel Consumidor para que o problema seja mais rapidamente reconhecido e sanado por parte dos responsáveis.
Receba em primeira mão as notícias publicadas no QTC da ECRA!
Se você usa Whatsapp, acesse ZAP.ECRA.CLUB
Se você usa Telegram, acesse TELEGRAM.ECRA.CLUB
Ou siga o QTC da ECRA no Twitter: TWITTER.COM/QTCECRA
Ou siga o QTC da ECRA no Twitter: TWITTER.COM/QTCECRA
Postar um comentário