Início » Antivírus e Segurança » Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários

Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários

Sistema online apresenta vulnerabilidade e permite ver cadastros e dados pessoais a partir do navegador; banco de dados também está exposto

Giovanni Santa Rosa Por

Uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV) deixa dados de candidatos a cursos disponíveis a qualquer um para acesso pelo navegador. Ex-alunos e funcionários também estão expostos em um banco de dados desprotegido. A falha foi descoberta por um leitor identificado como Belgra e compartilhada com o Tecnoblog.

FGV (Imagem: Felipe Barros / ExLibris / Secom-PMI)
FGV (Imagem: Felipe Barros / ExLibris / Secom-PMI)

Belgra conseguiu acessar um banco de dados e um sistema online da FGV. Por lá, foi possível ver informações pessoais de candidatos a cursos: ele compartilhou, como exemplo, links para dados de teste, que provavelmente foram cadastrados durante o desenvolvimento do sistema e são fictícios.

O Tecnoblog confirmou a existência dessa falha: é possível acessar outros cadastros sem esforço, com uma mudança simples de configuração e alterando os números da URL.

Sistema online expõe dados como documentos e endereço

Entre as informações que ficam expostas no sistema online, estão documentos como RG (com data de expedição e órgão expedidor) e CPF, data de nascimento, cidade e país onde nasceu, e estado civil. Há ainda outros campos, como título de eleitor, alistamento militar e certificado de dispensa ou de reservista, mas, em grande parte dos casos, eles estão vazios.

Dados reais da FGV que puderam ser acessados
Dados reais da FGV que puderam ser acessados (Imagem: Reprodução/Tecnoblog)

A falha não para por aí. Mudando outro parâmetro da URL, é possível acessar mais informações dos candidatos em diferentes páginas: endereço completo, e-mail, telefone, contatos de emergência, dados do pai e da mãe, cadastro de responsável financeiro (presumivelmente para menores de idade), dados profissionais e documentos.

Outra página de dados pessoais do mesmo cadastro
Outra página de dados pessoais do cadastro (Imagem: Reprodução/Tecnoblog)

Belgra diz que a brecha existe desde pelo menos 2020 e continua sem correção até a data de publicação deste texto. Ele comenta que a plataforma era ruim e parecia “amadora”, com “dicas” de que o sistema tinha falhas. “Com isso, um atacante pode ter visão total do banco de dados.” Segundo o denunciante, há outras URLs com falhas que poderiam ser usadas para acessar qualquer coisa no banco de dados, mas isso só seria possível usando scripts.

Banco de dados da FGV está exposto

Belgra também foi capaz de acessar um banco de dados com várias tabelas — na relação compartilhada com o Tecnoblog, há mais de 6 mil delas. Pelos nomes, podemos inferir que são de informações bastante variadas, como vencimento de boletos, calendários escolares e títulos da livraria. Além disso, há muitas tabelas vazias.

Três dessas tabelas — as de candidatos, ex-alunos e funcionários — totalizam mais de 800 mil registros do sistema. Nem todas as entradas estão completas, e algumas são de teste.

A FGV tem, segundo dados de um relatório de 2020, cerca de 5 mil alunos de graduação, 2 mil de mestrado e 400 de doutorado, além de mais de 99 mil em educação continuada.

“A falha expõe para toda a internet os dados do banco, contendo cerca de 800 mil cadastros de pessoas com dados de todo tipo: RG, CPF, nome de pai e mãe, endereço, assim como fotos desses documentos e documentos assinados”, explica Belgra.

Em um exemplo compartilhado com o Tecnoblog contendo apenas dados que foram cadastrados no sistema como teste, o especialista mostra a tabela de funcionários. Nela, constam e-mail da FGV, e-mail profissional, data de admissão e data de demissão.

O que diz a FGV

O Tecnoblog informou a descoberta da falha à FGV antes da publicação dessa reportagem.

Em seu site, a FGV dá destaque a uma área de proteção de dados, em que diz que cumpre a Lei Geral de Proteção de Dados (LGPD) e que “está comprometida em proteger e resguardar os direitos dos titulares de dados, assim como em ser um agente propagador da importância dos direitos relativos à privacidade e à proteção de dados pessoais”.

A página ainda traz contatos para dúvidas e reclamações sobre essa questão e link para um portal dos direitos dos titulares de dados pessoais.

Colaborou: Felipe Ventura

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Cassiano Calegari (@Cassiano_Calegari1)

Se precisássemos de mais uma evidência que as empresas simplesmente adicionaram um textinho sobre LGPD no site e não mudaram coisa alguma, ta ai =]