Inep, órgão vinculado ao Ministério da Educação, expõe dados de 5 milhões

Falha permitia acesso não-autorizado a dados de inscritos no Enade, no Enem e em certificação para estrangeiros; problema foi parcialmente corrigido

Giovanni Santa Rosa
• Atualizado há 1 ano e 1 mês

Uma falha no sistema do Exame Nacional de Desempenho dos Estudantes (Enade) deixou expostos dados de mais de 5 milhões de pessoas. A vulnerabilidade permitia que qualquer pessoa inscrita na prova tivesse acesso a dados de outros alunos. Bastava alterar alguns parâmetros para visualizar os cadastros de inscritos nesse e em outros testes.

O problema foi divulgado pelo site The Hack. Como explica a publicação, o sistema foi programado na plataforma Angular e enviava ao cliente todo o diretório de rotas de suas APIs em um arquivo app.js. Ao mudar um parâmetro, a plataforma entregava dados sem a necessidade de alterar o seu JSON Web Token (JWT), o que caracteriza um problema no controle de acesso.

Dados de Enem e de estrangeiros foram expostos

O sistema do Enade fica a cargo do Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), que é vinculado ao Ministério da Educação (MEC).

Apesar de a vulnerabilidade ser ligada ao sistema dessa prova, era possível acessar também informações sobre participantes do Exame Nacional do Ensino Médio (Enem) e do teste de Certificado de Proficiência em Língua Portuguesa (Celpe-Bras), voltado para estrangeiros — ambos são de responsabilidade da mesma autarquia.

Alterando dois parâmetros (“page” e “itemperpage”), o usuário conseguia ver nome, e-mail, senha em hash, gênero, nome da mãe e data de ingresso no sistema de outros cadastros. Se a pessoa estava inscrita no Enade, a plataforma também deixava expostos endereço, contatos, nome do pai, foto e curso de inscrição. 

Outro modo de explorar a vulnerabilidade era mudar a variável de CPF para um número válido e conseguir acesso aos dados desse usuário. Com os vazamentos que ocorreram este ano, ficaria fácil, por exemplo, chegar a uma pessoa específica.

Os pesquisadores que descobriram a falha disseram acreditar que informações de laudos médicos e tratamento social também estavam acessíveis, em teoria. No entanto, não puderam comprovar isso porque não tinham CPFs de pessoas que se enquadram nesses casos. Mesmo assim, eles consideram que é viável fazer esse tipo de indexação.

Inep corrige parcialmente falhas em sistema

Após a reportagem do The Hack entrar em contato com o Inep, o instituto corrigiu parcialmente as falhas e protegeu várias das rotas contra acessos não-autorizados. No entanto, alguns painéis administrativos continuam vulneráveis para quem tem cadastro no sistema, o que não deveria ocorrer. O Inep não emitiu um posicionamento oficial sobre o caso. Já a Agência Nacional de Proteção de Dados (ANPD) não respondeu ao site.

Com informações: The Hack

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.