Falha no sistema do Inep expõe dados de 5 milhões de estudantes; entenda

Mais de 5 milhões de estudantes brasileiros tiveram dados expostos na internet por conta de uma falha nos sistemas do Inep (Instituto Nacional de Estudos e Pesquisas Educacionais), autarquia federal vinculada ao Ministério da Educação. A vulnerabilidade foi divulgada pela revista digital “The Hack”, que testou o acesso aos dados e descobriu que era possível saber informações como nomes dos candidatos, email, senhas, gênero e nome da mãe.

A falha permitiu a qualquer pessoa inscrita no Enade (Exame Nacional de Desempenho dos Estudantes), com conhecimentos básicos de programação e um token, acessar dados de outros alunos. Como o sistema é ligado ao banco de dados do Enem (Exame Nacional do Ensino Médio), foi possível consultar informações de participantes das duas avaliações desde 1995.

De acordo com a publicação, outras rotas no sistema poderiam revelar ainda mais dados sensíveis, como boletins de desempenho, local de prova e até laudos médicos e opção de tratamento social. O Inep e o Ministério da Educação afirmaram ao “The Hack” que corrigiram parcialmente as falhas.
Em nota enviada a Tilt nesta sexta-feira (10), o Inep afirmou que recebeu a denúncia de vulnerabilidade no sistema do Enade e aplicou medidas de contenção no sistema para corrigir o erro.

“A autoridade competente foi comunicada para apuração dos fatos e o Inep se colocou à disposição para prestar as informações necessárias. Em avaliação inicial, a ação não gerou danos ao sistema”, explicou o órgão. “O Inep verificou que a vulnerabilidade identificada não representa risco à realização do Enade 2021, previsto para ser aplicado em 14 de novembro.”

Como foi possível acessar os dados?

Os dados do Inep estão protegidos por uma camada de segurança chamada de “Ocultação por Busca Determinante”. Nesse tipo de configuração, é preciso inserir uma informação para que outra apareça, neste caso, o CPF do cidadão. “A falha de segurança está na ‘Busca Vazia’, em que é possível aplicar comandos de busca que tragam todos ou uma série de dados, o que não deveria ser permitido”, explica Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética) e presidente executivo da empresa Decript.

Normalmente, a busca de dados de outros candidatos só poderia ser liberada por meio de uma senha de consulta (token), mas, com a falha, uma consulta qualquer retornou dados de outras pessoas também. “O hacker usou um token gerado pela sua autenticação para consultar tudo”, diz Kin. “É como se eu entrasse na sua conta no banco com a minha senha”, completa.

O nome desse tipo de vulnerabilidade é Broken Access Control, que, segundo o especialista, é uma das mais comuns. “É causada pela falta de configuração e programação adequada das ferramentas que fornecem a consulta aos dados, que devem ser tratadas para responder somente aos que lhes foi consultado”, afirma.

Calcula-se que tenham sido expostos dados de 5.283.901 de cidadãos, mas não se trata de um vazamento propriamente dito nem de uma “facilitação ao vazamento”.

“O Inep não expôs deliberadamente os dados pessoais dos candidatos”, avalia Kin, que completa dizendo que não foram encontrados indícios de vazamentos destes dados expostos vindos do Inep em nenhum dos canais de inteligência monitorados pela Abraseci.

Mas por que é perigoso?

Apesar de não ser um vazamento, a exposição é arriscada porque esse tipo de dado permite que muita gente lucre aplicando golpes. Com todas as informações de um cidadão, fica muito fácil para qualquer pessoa abrir contas e criar linhas de crédito em nome de terceiros, por exemplo.

Dados como os que foram expostos são considerados dados sensíveis, ou seja, que podem ser usados para identificar pessoas com fins de discriminação. É por esta razão que eles são protegidos pela LGPD (Lei Geral de Proteção de Dados) com ainda mais especificidade.

Os dados também podem ser cruzados com outros de vazamentos anteriores, o que dá ainda mais ferramentas para pessoas mal-intencionadas.

*Colaborou Lucas Carvalho

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.