Todos os dias, bilhões de pessoas confiam em sistemas digitais para operar tudo, desde a comunicação até o comércio e a infraestrutura crítica. Mas o sistema global de alerta precoce que notifica equipes de segurança sobre falhas perigosas de software está apresentando lacunas críticas em sua cobertura, e a maioria dos usuários não tem ideia de que suas vidas digitais provavelmente estão se tornando mais vulneráveis.
Nos últimos 18 meses, dois pilares da cibersegurança global flertaram com um colapso aparente. Em fevereiro de 2024, o Banco Nacional de Vulnerabilidades (National Vulnerability Database ou NVD, na sigla em inglês), apoiado pelos EUA, e amplamente utilizado por sua análise gratuita de ameaças de segurança, interrompeu abruptamente a publicação de novas entradas, citando uma enigmática “mudança no apoio entre agências”. Depois, em abril deste ano, o programa Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures, ou CVE), que é o sistema fundamental de numeração para rastrear falhas de software, pareceu correr um risco semelhante: uma carta vazada alertava sobre a expiração iminente de um contrato.
Profissionais de cibersegurança passaram então a inundar canais no Discord e feeds do LinkedIn com postagens de emergência e memes com “NVD” e “CVE” gravados em lápides. Vulnerabilidades não corrigidas são a segunda forma mais comum de invasão por cibercriminosos e já causaram apagões fatais em hospitais e falhas em infraestruturas críticas. Em uma publicação nas redes sociais, Jen Easterly, especialista em cibersegurança dos EUA, afirmou: “Perder o [CVE] seria como arrancar o catálogo de fichas de todas as bibliotecas ao mesmo tempo, deixando os defensores em meio ao caos enquanto os invasores aproveitam ao máximo”. Se os CVEs identificam cada vulnerabilidade como um livro em um catálogo de fichas, as entradas do NVD oferecem a resenha detalhada com contexto sobre gravidade, alcance e explorabilidade.
No final, a Agência de Segurança Cibernética e de Infraestruturas (Cybersecurity and Infrastructure Security Agency, ou CISA) estendeu o financiamento para o CVE por mais um ano, atribuindo o incidente a uma “questão de administração de contrato”. Mas a história do NVD se mostrou mais complicada. Sua organização-mãe, o Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology, ou NIST), viu seu orçamento reduzido em cerca de 12% em 2024, justamente na época em que a CISA retirou seus $3,7 milhões de financiamento anual para o NVD. Logo depois, à medida que o backlog (uma lista de pendências) aumentava, a CISA lançou seu próprio programa “Vulnrichment”, para ajudar a resolver a lacuna de análise, promovendo uma abordagem mais distribuída que permite que múltiplos parceiros autorizados publiquem dados enriquecidos.
“A CISA avalia continuamente como alocar de forma mais eficaz os recursos limitados para ajudar as organizações a reduzir o risco de vulnerabilidades recém-divulgadas”, diz Sandy Radesky, diretora associada da agência para gerenciamento de vulnerabilidades. Em vez de simplesmente preencher a lacuna, ela enfatiza que o Vulnrichment foi estabelecido para fornecer informações adicionais exclusivas, como ações recomendadas para partes interessadas específicas, e para “reduzir a dependência do governo federal como o único fornecedor de enriquecimento de vulnerabilidades.”
Enquanto isso, o NIST correu para contratar pessoas que ajudem a limpar o backlog. Apesar de um retorno aos níveis de processamento pré-crise, um aumento nas vulnerabilidades recém-divulgadas ao NVD superou esses esforços. Atualmente, mais de 25.000 vulnerabilidades aguardam processamento, quase dez vezes o recorde anterior em 2017, segundo dados da empresa de software Anchore. Antes disso, o NVD geralmente acompanhava as publicações do CVE, mantendo um backlog mínimo.
“As coisas têm sido disruptivas e estamos passando por momentos de mudança em todos os aspectos”, disse Matthew Scholl, então chefe da divisão de segurança de computadores no Laboratório de Tecnologia da Informação do NIST, durante um evento do setor em abril. “A liderança me assegurou, e a todos, que o NVD é e continuará sendo uma prioridade de missão para o NIST, tanto em recursos quanto em capacidades.” Scholl deixou o NIST em maio, após 20 anos na agência, e o NIST se recusou a comentar sobre o backlog.
A situação agora provocou várias ações do governo, com o Departamento de Comércio iniciando uma auditoria do NVD, em maio, e os democratas da Câmara pedindo uma investigação mais ampla sobre ambos os programas em junho. Mas o dano à confiança já está transformando a geopolítica e as cadeias de suprimento, enquanto as equipes de segurança se preparam para uma nova era de risco cibernético. “Isso deixou um gosto amargo, e as pessoas estão percebendo que não podem confiar nisso”, diz Rose Gupta, que constrói e gerencia programas de gerenciamento de vulnerabilidades empresariais. “Mesmo que consigam resolver tudo amanhã com um orçamento maior, não sei se isso não vai acontecer de novo. Então, eu tenho que garantir que tenha outros controles em vigor”.
À medida que esses recursos públicos falham, organizações e governos estão enfrentando uma fraqueza crítica em nossa infraestrutura digital: serviços essenciais de cibersegurança global dependem de uma rede complexa de interesses de agências dos EUA e financiamento governamental, que pode ser cortado ou redirecionado a qualquer momento.
Segurança: os que têm e os que não têm
O que começou como um pequeno fluxo de vulnerabilidades de softwares na era inicial da Internet, se transformou em uma avalanche imparável, e as bases de dados gratuitas, que as acompanham há décadas, têm lutado para acompanhar o ritmo. No início de julho, o banco de dados CVE ultrapassou 300.000 vulnerabilidades catalogadas. Os números aumentam de forma imprevisível a cada ano, às vezes em 10% ou muito mais. Mesmo antes de sua última crise, o NVD já era conhecido por publicações atrasadas de novas análises de vulnerabilidades, muitas vezes ficando atrás de softwares de segurança privados e avisos de fornecedores por semanas ou meses.
Gupta tem observado que as organizações estão adotando cada vez mais softwares comerciais de gerenciamento de vulnerabilidades (vulnerability management, ou VM) que incluem seus próprios serviços de inteligência de ameaças. “Definitivamente, nos tornamos excessivamente dependentes das nossas ferramentas de VM”, diz ela, descrevendo a crescente dependência das equipes de segurança de fornecedores, como Qualys, Rapid7 e Tenable, para complementar ou substituir os bancos de dados públicos, que são pouco confiáveis. Essas plataformas combinam suas próprias pesquisas com diversas fontes de dados para criar pontuações de risco proprietárias que ajudam as equipes a priorizar correções. Mas nem todas as organizações podem pagar para preencher a lacuna do NVD com ferramentas de segurança premium. “Empresas menores e startups, já em desvantagem, estarão mais em risco”, explica ela.
Komal Rawat, engenheiro de segurança em Nova Délhi, cuja startup de nuvem em estágio intermediário tem um orçamento limitado, descreve o impacto de forma contundente: “Se o NVD cair, haverá uma crise no mercado. Outros bancos de dados não são tão populares, e, na medida em que são adotados, não são gratuitos. Se você não tem dados recentes, está exposto a atacantes que têm”.
O crescente backlog significa que novos dispositivos podem ser mais propensos a ter pontos cegos de vulnerabilidade, seja uma campainha em casa ou o sistema de controle de acesso “inteligente” de um prédio de escritórios. O maior risco pode ser falhas de segurança “isoladas” que passam despercebidas. “Há milhares de vulnerabilidades que não afetarão a maioria das empresas”, diz Gupta. “Essas são as que não estamos recebendo análises, o que nos deixaria em risco.”
O NIST reconhece que tem visibilidade limitada sobre quais organizações são mais afetadas pelo backlog. “Nós não rastreamos quais indústrias usam quais produtos e, portanto, não podemos medir o impacto em indústrias específicas”, diz um porta-voz. Em vez disso, a equipe prioriza as vulnerabilidades com base na lista de exploits (código ou conjunto de dados) conhecidos da CISA e nas que estão incluídas em avisos de fornecedores, como o Microsoft Patch Tuesday.
A maior vulnerabilidade
Brian Martin acompanhou a evolução, e a deterioração, desse sistema de dentro. Ex-membro do conselho do CVE e líder original do projeto Banco de dados de Vulnerabilidades de Código Aberto (Open Source Vulnerability Database), ele construiu uma reputação combativa ao longo das décadas como um dos principais historiadores e praticantes da área. Martin afirma que seu projeto atual, o VulnDB (parte da Flashpoint Security), supera os bancos de dados oficiais que ele ajudou a supervisionar. “Nossa equipe processa mais vulnerabilidades, com um tempo de resposta muito mais rápido, e fazemos isso por uma fração do custo”, diz ele, referindo-se às dezenas de milhões em contratos governamentais que sustentam o sistema atual.
Quando conversamos em maio, Martin disse que seu banco de dados contém mais de 112.000 vulnerabilidades sem identificadores CVE, falhas de segurança que existem no mundo real, mas permanecem invisíveis para organizações que dependem exclusivamente de canais públicos. “Se você me desse o dinheiro para triplicar minha equipe, esse número sem CVE estaria na faixa de 500.000”, disse ele.
Nos EUA, as responsabilidades oficiais de gerenciamento de vulnerabilidades são divididas entre uma rede de contratantes, agências e centros sem fins lucrativos como a Mitre Corporation. Críticos como Martin afirmam que isso cria um potencial para redundância, confusão e ineficiência, com camadas de gerenciamento intermediário e relativamente poucos especialistas reais em vulnerabilidades. Outros defendem o valor dessa fragmentação. “Esses programas se baseiam uns nos outros ou se complementam para criar uma comunidade mais abrangente, de apoio e diversificada”, disse a CISA em um comunicado. “Isso aumenta a resiliência e a utilidade de todo o ecossistema.”
Enquanto a liderança americana vacila, outros países estão assumindo a frente. A China agora opera múltiplos bancos de dados de vulnerabilidades, alguns surpreendentemente robustos, mas manchados pela possibilidade de estarem sujeitos ao controle estatal. Em maio, a União Europeia acelerou o lançamento de seu próprio banco de dados, bem como uma arquitetura descentralizada “Global CVE”. Seguindo as redes sociais e os serviços em nuvem, a inteligência sobre vulnerabilidades se tornou outra frente na disputa pela independência tecnológica.
Isso deixa os profissionais de segurança a navegar por múltiplas fontes de dados potencialmente conflitantes. “Vai ser uma bagunça, mas eu prefiro ter informação demais do que nenhuma informação”, diz Gupta, descrevendo como sua equipe monitora vários bancos apesar da complexidade adicional.
Redefinindo a responsabilidade do software
À medida que os defensores se adaptam ao cenário fragmentado, a indústria de tecnologia enfrenta outro dilema: por que os fornecedores de software não assumem mais responsabilidade por proteger seus clientes de problemas de segurança? Grandes fornecedores divulgam rotineiramente, mas não necessariamente corrigem, milhares de novas vulnerabilidades a cada ano. Uma única exposição pode derrubar sistemas críticos ou aumentar os riscos de fraudes e uso indevido de dados.
Por décadas, a indústria se escondeu atrás de escudos legais. As “licenças de embalagem” uma vez forçaram os consumidores a renunciar amplamente ao direito de responsabilizar os fornecedores de software por defeitos. Os contratos de licença de usuário final (EULAs) de hoje, frequentemente entregues em janelas pop-up no navegador, evoluíram para documentos incompreensivelmente longos. Em novembro passado, um projeto de laboratório chamado “EULAS of Despair” usou o comprimento do livro Guerra e Paz (587.287 palavras) para medir esses contratos extensos. O pior infrator? O Twitter, com 15,83 romances em letras miúdas.
“Isso é uma ficção legal que criamos em torno de todo esse ecossistema, e simplesmente não é sustentável”, diz Andrea Matwyshyn, conselheira especial dos EUA e professora de direito de tecnologia na Penn State University, onde ela dirige o Laboratório de Inovação Política do Amanhã (Policy Innovation Lab of Tomorrow, em inglês). “Algumas pessoas apontam o fato de que o software pode conter uma mistura de produtos e serviços, criando fatos mais complexos. Mas, assim como em litígios de engenharia ou financeiros, até os cenários mais confusos podem ser resolvidos com a ajuda de especialistas”.
Esse escudo de responsabilidade em torno das falhas de software, seja por vulnerabilidades de segurança ou outros defeitos que colocam em risco a segurança pública, finalmente está começando a rachar. Como exemplo, Matwyshyn aponta o evento de julho de 2024 da CrowdStrike, quando uma atualização do popular programa endpoint da empresa causou a falha de milhões de computadores com Windows em todo o mundo e causou interrupções em tudo, desde companhias aéreas até hospitais e sistemas de emergência 911. O incidente levou a bilhões em danos estimados, e a cidade de Portland, Oregon, chegou a declarar um “estado de emergência”. Agora, empresas afetadas como a Delta Airlines contrataram advogados caros para buscar grandes indenizações, um sinal claro da abertura dos portões para litígios.
Apesar do número crescente de vulnerabilidades, muitas delas se enquadram em categorias bem estabelecidas, como injeções de SQL que interferem nas consultas de banco de dados e estouros de buffer de memória que permitem a execução remota de código. Matwyshyn defende um “software bill of materials” (S-BOM) obrigatório — uma lista de ingredientes que permitiria às organizações entender quais componentes e potenciais vulnerabilidades existem em suas cadeias de suprimento de software. Um relatório recente constatou que 30% das violações de dados se originaram das vulnerabilidades de fornecedores de software de terceiros ou provedores de serviços em nuvem.
Ela acrescenta: “Quando você não consegue distinguir entre as empresas que estão cortando custos e uma empresa que realmente investiu em fazer o certo pelos seus clientes, isso resulta em um mercado onde todos perdem.”
A liderança da CISA compartilha esse sentimento, com um porta-voz enfatizando seus “princípios de segurança por design,” como “tornar os recursos de segurança essenciais disponíveis sem custo adicional, eliminar classes de vulnerabilidades e construir produtos de maneira que reduza o ônus da cibersegurança para os clientes”.
Evitando uma “idade das trevas” digital
Não será surpresa perceber que os profissionais estão recorrendo à IA para ajudar a preencher a lacuna, enquanto, ao mesmo tempo, se preparam para uma iminente enxurrada de ciberataques por agentes de IA. Pesquisadores de segurança usaram um modelo da OpenAI para descobrir novas vulnerabilidades “zero-day” (quando ainda é desconhecida). E tanto as equipes do NVD quanto do CVE estão desenvolvendo “ferramentas movidas por IA” para ajudar a agilizar a coleta, identificação e processamento de dados. O NIST afirma que “até 65% do nosso tempo de análise foi gasto gerando CPEs”, códigos de informações de produtos que identificam o software afetado. Se a IA puder resolver mesmo uma parte desse processo tedioso, pode acelerar dramaticamente o fluxo de análise.
Mas Martin alerta contra o otimismo em relação à IA, observando que a tecnologia continua sem comprovação e frequentemente cheia de imprecisões, o que, em segurança, pode ser fatal. “Em vez de IA ou ML [aprendizado de máquina], há maneiras de automatizar estrategicamente partes do processamento desses dados de vulnerabilidade, enquanto garante uma precisão de 99,5%”, diz ele.
A IA também não resolve desafios mais fundamentais na governança. A CVE Foundation, lançada em abril de 2025 por membros do conselho dissidentes, propõe um modelo sem fins lucrativos globalmente financiado, semelhante ao sistema de endereçamento da internet, que passou do controle do governo dos EUA para a governança internacional. Outros líderes de segurança estão pressionando para revitalizar alternativas de código aberto, como o OSV Project do Google ou o NVD++ (mantido pela VulnCheck), que são acessíveis ao público, mas atualmente têm recursos limitados.
À medida que esses esforços de reforma ganham força, o mundo está se conscientizando do fato de que a inteligência de vulnerabilidades, assim como a vigilância de doenças ou a segurança da aviação, exige cooperação contínua e investimento público. Sem isso, um emaranhado de bancos de dados pagos será tudo o que restará, ameaçando deixar todas, exceto as organizações e países mais ricos, permanentemente expostos.
Matthew King
