Notícias Antivírus e Segurança

Inep, órgão vinculado ao Ministério da Educação, expõe dados de 5 milhões

Falha permitia acesso não-autorizado a dados de inscritos no Enade, no Enem e em certificação para estrangeiros; problema foi parcialmente corrigido

Giovanni Santa Rosa
Por

As melhores ofertas,
sem rabo preso

Uma falha no sistema do Exame Nacional de Desempenho dos Estudantes (Enade) deixou expostos dados de mais de 5 milhões de pessoas. A vulnerabilidade permitia que qualquer pessoa inscrita na prova tivesse acesso a dados de outros alunos. Bastava alterar alguns parâmetros para visualizar os cadastros de inscritos nesse e em outros testes.

Fachada do Instituto de Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep)
Fachada do Instituto de Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) (Imagem: Pillar Pedreira/Agência Senado)

O problema foi divulgado pelo site The Hack. Como explica a publicação, o sistema foi programado na plataforma Angular e enviava ao cliente todo o diretório de rotas de suas APIs em um arquivo app.js. Ao mudar um parâmetro, a plataforma entregava dados sem a necessidade de alterar o seu JSON Web Token (JWT), o que caracteriza um problema no controle de acesso.

Dados de Enem e de estrangeiros foram expostos

O sistema do Enade fica a cargo do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), que é vinculado ao Ministério da Educação (MEC).

Apesar de a vulnerabilidade ser ligada ao sistema dessa prova, era possível acessar também informações sobre participantes do Exame Nacional do Ensino Médio (Enem) e do teste de Certificado de Proficiência em Língua Portuguesa (Celpe-Bras), voltado para estrangeiros — ambos são de responsabilidade da mesma autarquia.

Alterando dois parâmetros (“page” e “itemperpage”), o usuário conseguia ver nome, e-mail, senha em hash, gênero, nome da mãe e data de ingresso no sistema de outros cadastros. Se a pessoa estava inscrita no Enade, a plataforma também deixava expostos endereço, contatos, nome do pai, foto e curso de inscrição. 

Outro modo de explorar a vulnerabilidade era mudar a variável de CPF para um número válido e conseguir acesso aos dados desse usuário. Com os vazamentos que ocorreram este ano, ficaria fácil, por exemplo, chegar a uma pessoa específica.

Os pesquisadores que descobriram a falha disseram acreditar que informações de laudos médicos e tratamento social também estavam acessíveis, em teoria. No entanto, não puderam comprovar isso porque não tinham CPFs de pessoas que se enquadram nesses casos. Mesmo assim, eles consideram que é viável fazer esse tipo de indexação.

Inep corrige parcialmente falhas em sistema

Após a reportagem do The Hack entrar em contato com o Inep, o instituto corrigiu parcialmente as falhas e protegeu várias das rotas contra acessos não-autorizados. No entanto, alguns painéis administrativos continuam vulneráveis para quem tem cadastro no sistema, o que não deveria ocorrer. O Inep não emitiu um posicionamento oficial sobre o caso. Já a Agência Nacional de Proteção de Dados (ANPD) não respondeu ao site.

Com informações: The Hack

Giovanni Santa Rosa

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Mais Populares

Responde

Relacionados

Em destaque