Inep, órgão vinculado ao Ministério da Educação, expõe dados de 5 milhões
Falha permitia acesso não-autorizado a dados de inscritos no Enade, no Enem e em certificação para estrangeiros; problema foi parcialmente corrigido
Falha permitia acesso não-autorizado a dados de inscritos no Enade, no Enem e em certificação para estrangeiros; problema foi parcialmente corrigido
Uma falha no sistema do Exame Nacional de Desempenho dos Estudantes (Enade) deixou expostos dados de mais de 5 milhões de pessoas. A vulnerabilidade permitia que qualquer pessoa inscrita na prova tivesse acesso a dados de outros alunos. Bastava alterar alguns parâmetros para visualizar os cadastros de inscritos nesse e em outros testes.
O problema foi divulgado pelo site The Hack. Como explica a publicação, o sistema foi programado na plataforma Angular e enviava ao cliente todo o diretório de rotas de suas APIs em um arquivo app.js. Ao mudar um parâmetro, a plataforma entregava dados sem a necessidade de alterar o seu JSON Web Token (JWT), o que caracteriza um problema no controle de acesso.
O sistema do Enade fica a cargo do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), que é vinculado ao Ministério da Educação (MEC).
Apesar de a vulnerabilidade ser ligada ao sistema dessa prova, era possível acessar também informações sobre participantes do Exame Nacional do Ensino Médio (Enem) e do teste de Certificado de Proficiência em Língua Portuguesa (Celpe-Bras), voltado para estrangeiros — ambos são de responsabilidade da mesma autarquia.
Alterando dois parâmetros (“page” e “itemperpage”), o usuário conseguia ver nome, e-mail, senha em hash, gênero, nome da mãe e data de ingresso no sistema de outros cadastros. Se a pessoa estava inscrita no Enade, a plataforma também deixava expostos endereço, contatos, nome do pai, foto e curso de inscrição.
Outro modo de explorar a vulnerabilidade era mudar a variável de CPF para um número válido e conseguir acesso aos dados desse usuário. Com os vazamentos que ocorreram este ano, ficaria fácil, por exemplo, chegar a uma pessoa específica.
Os pesquisadores que descobriram a falha disseram acreditar que informações de laudos médicos e tratamento social também estavam acessíveis, em teoria. No entanto, não puderam comprovar isso porque não tinham CPFs de pessoas que se enquadram nesses casos. Mesmo assim, eles consideram que é viável fazer esse tipo de indexação.
Após a reportagem do The Hack entrar em contato com o Inep, o instituto corrigiu parcialmente as falhas e protegeu várias das rotas contra acessos não-autorizados. No entanto, alguns painéis administrativos continuam vulneráveis para quem tem cadastro no sistema, o que não deveria ocorrer. O Inep não emitiu um posicionamento oficial sobre o caso. Já a Agência Nacional de Proteção de Dados (ANPD) não respondeu ao site.
Com informações: The Hack