Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários

Sistema online apresenta vulnerabilidade e permite ver cadastros e dados pessoais a partir do navegador; banco de dados também está exposto

Giovanni Santa Rosa
Por
• Atualizado há 2 anos e 4 meses
FGV (Imagem: Felipe Barros / ExLibris / Secom-PMI)

Uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV) deixa dados de candidatos a cursos disponíveis a qualquer um para acesso pelo navegador. Ex-alunos e funcionários também estão expostos em um banco de dados desprotegido. A falha foi descoberta por um leitor identificado como Belgra e compartilhada com o Tecnoblog.

Belgra conseguiu acessar um banco de dados e um sistema online da FGV. Por lá, foi possível ver informações pessoais de candidatos a cursos: ele compartilhou, como exemplo, links para dados de teste, que provavelmente foram cadastrados durante o desenvolvimento do sistema e são fictícios. 

O Tecnoblog confirmou a existência dessa falha: é possível acessar outros cadastros sem esforço, com uma mudança simples de configuração e alterando os números da URL.

Sistema online expõe dados como documentos e endereço

Entre as informações que ficam expostas no sistema online, estão documentos como RG (com data de expedição e órgão expedidor) e CPF, data de nascimento, cidade e país onde nasceu, e estado civil. Há ainda outros campos, como título de eleitor, alistamento militar e certificado de dispensa ou de reservista, mas, em grande parte dos casos, eles estão vazios.

Dados reais da FGV que puderam ser acessados
Dados reais da FGV que puderam ser acessados (Imagem: Reprodução/Tecnoblog)

A falha não para por aí. Mudando outro parâmetro da URL, é possível acessar mais informações dos candidatos em diferentes páginas: endereço completo, e-mail, telefone, contatos de emergência, dados do pai e da mãe, cadastro de responsável financeiro (presumivelmente para menores de idade), dados profissionais e documentos.

Outra página de dados pessoais do mesmo cadastro
Outra página de dados pessoais do cadastro (Imagem: Reprodução/Tecnoblog)

Belgra diz que a brecha existe desde pelo menos 2020 e continua sem correção até a data de publicação deste texto. Ele comenta que a plataforma era ruim e parecia “amadora”, com “dicas” de que o sistema tinha falhas. “Com isso, um atacante pode ter visão total do banco de dados.” Segundo o denunciante, há outras URLs com falhas que poderiam ser usadas para acessar qualquer coisa no banco de dados, mas isso só seria possível usando scripts.

Banco de dados da FGV está exposto

Belgra também foi capaz de acessar um banco de dados com várias tabelas — na relação compartilhada com o Tecnoblog, há mais de 6 mil delas. Pelos nomes, podemos inferir que são de informações bastante variadas, como vencimento de boletos, calendários escolares e títulos da livraria. Além disso, há muitas tabelas vazias.  

Três dessas tabelas — as de candidatos, ex-alunos e funcionários — totalizam mais de 800 mil registros do sistema. Nem todas as entradas estão completas, e algumas são de teste. 

A FGV tem, segundo dados de um relatório de 2020, cerca de 5 mil alunos de graduação, 2 mil de mestrado e 400 de doutorado, além de mais de 99 mil em educação continuada.

“A falha expõe para toda a internet os dados do banco, contendo cerca de 800 mil cadastros de pessoas com dados de todo tipo: RG, CPF, nome de pai e mãe, endereço, assim como fotos desses documentos e documentos assinados”, explica Belgra.

Em um exemplo compartilhado com o Tecnoblog contendo apenas dados que foram cadastrados no sistema como teste, o especialista mostra a tabela de funcionários. Nela, constam e-mail da FGV, e-mail profissional, data de admissão e data de demissão.

O que diz a FGV

O Tecnoblog informou a descoberta da falha à FGV antes da publicação dessa reportagem.

Em seu site, a FGV dá destaque a uma área de proteção de dados, em que diz que cumpre a Lei Geral de Proteção de Dados (LGPD) e que “está comprometida em proteger e resguardar os direitos dos titulares de dados, assim como em ser um agente propagador da importância dos direitos relativos à privacidade e à proteção de dados pessoais”.

A página ainda traz contatos para dúvidas e reclamações sobre essa questão e link para um portal dos direitos dos titulares de dados pessoais.

Colaborou: Felipe Ventura

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Relacionados

Google e Microsoft vão investir US$ 30 bilhões na cibersegurança dos EUA
Google e Microsoft vão investir US$ 30 bilhões na cibersegurança dos EUA
iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors
iPhones da Kaspersky foram hackeados durante quatro anos usando backdoors
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Por que Warsaw, plugin de segurança de bancos, bloqueia sites
Por que Warsaw, plugin de segurança de bancos, bloqueia sites
O que é Engenharia Social?
O que é Engenharia Social?
O que é cibersegurança?
O que é cibersegurança?
Exclusivo: Nubank deve lançar operadora própria de celular
Exclusivo: Nubank deve lançar operadora própria de celular
O que é CVE? [Exposição e Vulnerabilidades]
O que é CVE? [Exposição e Vulnerabilidades]
Criminosos se passam por funcionários do LastPass para roubar senhas
Criminosos se passam por funcionários do LastPass para roubar senhas
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com