Inep, órgão vinculado ao Ministério da Educação, expõe dados de 5 milhões

Falha permitia acesso não-autorizado a dados de inscritos no Enade, no Enem e em certificação para estrangeiros; problema foi parcialmente corrigido

Giovanni Santa Rosa
Por
• Atualizado há 6 meses
Fachada do Instituto de Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep)
Fachada do Instituto de Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) (Imagem: Pillar Pedreira/Agência Senado)

Uma falha no sistema do Exame Nacional de Desempenho dos Estudantes (Enade) deixou expostos dados de mais de 5 milhões de pessoas. A vulnerabilidade permitia que qualquer pessoa inscrita na prova tivesse acesso a dados de outros alunos. Bastava alterar alguns parâmetros para visualizar os cadastros de inscritos nesse e em outros testes.

O problema foi divulgado pelo site The Hack. Como explica a publicação, o sistema foi programado na plataforma Angular e enviava ao cliente todo o diretório de rotas de suas APIs em um arquivo app.js. Ao mudar um parâmetro, a plataforma entregava dados sem a necessidade de alterar o seu JSON Web Token (JWT), o que caracteriza um problema no controle de acesso.

Dados de Enem e de estrangeiros foram expostos

O sistema do Enade fica a cargo do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), que é vinculado ao Ministério da Educação (MEC).

Apesar de a vulnerabilidade ser ligada ao sistema dessa prova, era possível acessar também informações sobre participantes do Exame Nacional do Ensino Médio (Enem) e do teste de Certificado de Proficiência em Língua Portuguesa (Celpe-Bras), voltado para estrangeiros — ambos são de responsabilidade da mesma autarquia.

Alterando dois parâmetros (“page” e “itemperpage”), o usuário conseguia ver nome, e-mail, senha em hash, gênero, nome da mãe e data de ingresso no sistema de outros cadastros. Se a pessoa estava inscrita no Enade, a plataforma também deixava expostos endereço, contatos, nome do pai, foto e curso de inscrição. 

Outro modo de explorar a vulnerabilidade era mudar a variável de CPF para um número válido e conseguir acesso aos dados desse usuário. Com os vazamentos que ocorreram este ano, ficaria fácil, por exemplo, chegar a uma pessoa específica.

Os pesquisadores que descobriram a falha disseram acreditar que informações de laudos médicos e tratamento social também estavam acessíveis, em teoria. No entanto, não puderam comprovar isso porque não tinham CPFs de pessoas que se enquadram nesses casos. Mesmo assim, eles consideram que é viável fazer esse tipo de indexação.

Inep corrige parcialmente falhas em sistema

Após a reportagem do The Hack entrar em contato com o Inep, o instituto corrigiu parcialmente as falhas e protegeu várias das rotas contra acessos não-autorizados. No entanto, alguns painéis administrativos continuam vulneráveis para quem tem cadastro no sistema, o que não deveria ocorrer. O Inep não emitiu um posicionamento oficial sobre o caso. Já a Agência Nacional de Proteção de Dados (ANPD) não respondeu ao site.

Com informações: The Hack

Receba mais sobre Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Relacionados

Projeto quer mudar LGPD para evitar “censura” do governo em dados do Enem
Projeto quer mudar LGPD para evitar “censura” do governo em dados do Enem
Como ver a nota do Enem [Aplicativo e desktop]
Como ver a nota do Enem [Aplicativo e desktop]
Como citar o BNCC nas normas ABNT
Como citar o BNCC nas normas ABNT
MEC vai rever regras que deixavam Starlink como única opção para escolas
MEC vai rever regras que deixavam Starlink como única opção para escolas
Só a Starlink atende regras do MEC para internet nas escolas
Só a Starlink atende regras do MEC para internet nas escolas
Senado aprova projeto para garantir internet nas escolas da rede pública
Senado aprova projeto para garantir internet nas escolas da rede pública
Governo lança ID Estudantil, app da carteira digital de estudante
Governo lança ID Estudantil, app da carteira digital de estudante
26 bilhões de contas aparecem em maior vazamento da história
26 bilhões de contas aparecem em maior vazamento da história
Bolsonaro aciona STF contra repasse para internet de alunos da rede pública
Bolsonaro aciona STF contra repasse para internet de alunos da rede pública
Governo federal bloqueia R$ 2,5 bilhões do orçamento de pesquisas científicas
Governo federal bloqueia R$ 2,5 bilhões do orçamento de pesquisas científicas