O Programa Mundial de Alimentos (WFP) das Nações Unidas confirmou um vazamento de dados que expôs informações pessoais de aproximadamente 600 mil famílias em Gaza. O ataque, ocorrido em 14 de maio de 2026, comprometeu o aplicativo de autoregistro da agência, tornando-se possivelmente o maior breach de dados humanitários já registrado.
O que aconteceu
Terceiros não autorizados acessaram o aplicativo de autoregistro (self-registration app) usado pelo WFP para cadastro de beneficiários em Gaza. A violação foi detectada em 14 de maio e comunicada aos afetados via Telegram no final de maio. O WFP iniciou uma investigação interna e notificou as autoridades competentes.
Até o momento, nenhum grupo ou indivíduo reivindicou o ataque. A agência classificou o incidente como de alta gravidade, considerando o volume de registros e a sensibilidade dos dados envolvidos — informações de pessoas em zona de conflito ativo. O caso se junta a uma série de grandes vazamentos que expuseram dados de centenas de milhares de pessoas em 2026.
Dados expostos no ataque
Os registros comprometidos contêm dados pessoais de identificação das famílias cadastradas no programa de assistência alimentar:
- Nomes completos dos beneficiários
- Números de identidade (documentos oficiais)
- Números de telefone celular
- Dados de localização (endereços e coordenadas)
| Dado exposto | Volume estimado | Risco principal |
|---|---|---|
| Nomes completos | ~600 mil famílias | Identificação e perfilamento |
| Números de identidade | ~600 mil famílias | Roubo de identidade e fraude |
| Números de celular | ~600 mil famílias | Phishing e assédio direcionado |
| Localização | ~600 mil famílias | Risco físico em zona de conflito |
A combinação desses dados num contexto de conflito armado eleva os riscos para a população afetada, que tem recursos limitados para proteger suas identidades digitais. O volume supera grandes breaches recentes em termos de impacto humanitário direto.
Riscos para as vítimas
A exposição afeta uma população em situação de vulnerabilidade extrema. Os riscos imediatos incluem campanhas de phishing usando os números de telefone e nomes vazados, roubo de identidade via números de documento e, mais grave, riscos de segurança física decorrentes da exposição de localização precisa em zona de guerra.
O vazamento de dados de beneficiários humanitários pode gerar consequências de longo prazo: exclusão de serviços essenciais caso identidades sejam fraudadas, perseguição com base nos dados de localização e erosão da confiança nas organizações de assistência — justamente quando essa confiança é mais necessária.
Especialistas em proteção de dados apontam que incidentes desse tipo podem desestimular o registro em programas de ajuda humanitária, ampliando o impacto além dos diretamente afetados pelo vazamento.
Recomendações de segurança
Organizações que operam aplicações de cadastro de beneficiários em contextos sensíveis devem adotar medidas rigorosas:
- Criptografia de dados sensíveis: aplicar cifras robustas para dados em repouso e em trânsito, especialmente registros de identificação e localização de populações vulneráveis.
- Controle de acesso estrito: implementar autenticação multifator resistente a phishing para todos os sistemas com acesso a dados de beneficiários, seguindo o princípio do menor privilégio.
- Monitoramento em tempo real: auditoria contínua de acessos anormais em aplicações de autoregistro e portais públicos, com alertas para padrões de download ou consulta em massa.
- Gestão da superfície de ataque: revisão periódica de configurações de cloud e bancos de dados voltados ao público, identificando recursos expostos indevidamente.
- Minimização de dados coletados: limitar os campos de cadastro ao estritamente necessário para a entrega da assistência, reduzindo o impacto potencial de futuros vazamentos.