Uma brecha de segurança na Universidade Estadual de Maringá (UEM) expôs dados pessoais de alunos e funcionários, além de documentos internos da administração. As informações estavam disponíveis em servidores da instituição e podiam ser acessadas por qualquer um por meio da internet, sem a exigência de senhas, credenciais de acesso ou qualquer tipo de verificação de segurança.
A falha foi reportada ao Canaltech pelo estudante de engenharia de software e pesquisador em segurança Giovanni Zadinello, que disse ter encontrado a brecha ao perceber que um diretório de provas dos vestibulares da UEM também possuía livre acesso. Foi a partir daí que o especialista localizou a raiz do servidor vulnerável, com todos os dados disponíveis.
O volume era grande, composto por dezenas de pastas que traziam as identificações de diferentes setores da UEM, indo desde departamentos financeiros e de planejamento até a biblioteca central, reitoria, pós-graduação e, no caso mais grave, registros de alunos e cadastros. Ainda, os backups de bancos de dados diários da instituição também podiam ser baixados.
Em alguns casos, as mesmas informações e documentos poderiam ser encontrados livremente em outros sites do próprio governo estadual, a partir de suas iniciativas de transparência. É o caso de registros de licitações, pedidos de compras de material de higiene e escritório ou comunicações de setores financeiros à reitoria, que incluíam, por exemplo, indicações de cortes em folhas de pagamento de horas extras, para lidar com o contingenciamento de verbas imposto pelo governo federal, ou termos de credenciamento e contratação de colaboradores para diferentes áreas da UEM.
Entretanto, no que torna a exposição de dados um pouco mais grave, informações pessoais de alunos e funcionários também estavam plenamente acessíveis. Durante a apuração, o Canaltech encontrou atestados garantindo a transferência de alunos de outras instituições de ensino brasileiras, comprovantes de cancelamento de matrícula ou solicitações de alteração cadastral que expunham nomes completos, CPF, estado civil, assinaturas, endereços e e-mails pessoais dos solicitantes. Informações semelhantes sobre diretores, gestores ou demais colaboradores também estavam presentes no conjunto.
Além disso, e-mails pessoais de graduandos podiam ser vistos em boletins de notas do ENEM, com datas variando de 2014 a 2018, e utilizados por eles para garantir vagas na UEM. No banco de dados também dava para encontrar fotos usadas em crachás, endereços de correio eletrônico e logins de funcionários da universidade para acesso aos sistemas internos. As senhas, entretanto, estavam criptografadas.
De acordo com o corpo técnico da Universidade Estadual de Maringá, um erro de configuração no servidor permitiu a visualização e download dos arquivos “contornando a forma com que deveriam ser acessados”. A instituição disse não ser possível precisar por quanto tempo os dados estiveram disponíveis publicamente, mas disse acreditar que a exposição não durou mais de um mês.
A falha foi reportada por Zadinello ao Canaltech no dia 17 de julho, com o acesso aos servidores fechado cinco dias depois. Mesmo neste curto tempo, afirma o pesquisador, é possível que um indivíduo malicioso tenha baixado os conjuntos de informações para, depois, utilizá-los em tentativas de golpe. “Com um simples programa de força bruta em domínios, seria possível encontrar não apenas este, como mais diretórios abertos com bastante facilidade”, afirma o especialista. Não é possível, porém, saber com certeza se as informações foram baixadas por terceiros.
Ainda falando à reportagem, o representante da UEM disse que o erro de configuração foi corrigido assim que descoberto pelos responsáveis, com a instituição, agora, passando por um processo de avaliação para verificar quais conteúdos foram visualizados. “Temos padrões para o acesso a informação que devem ser seguidos, mas, neste caso, devido a uma falha, as restrições estavam incorretas, o que permitiu a utilização completa”, explicou.
Por outro lado, a universidade minimiza os potenciais danos causados pela brecha, afirmando não ter localizado, no volume acessível, informações que já não estavam disponíveis em outras partes do portal da instituição. “Caso seja encontrado algum material sensível, os possíveis afetados serão imediatamente informados”, garantiu. Não foi possível confirmar se esse contato já ocorreu, uma vez que, como dito, a apuração encontrou dados pessoais de alunos e funcionários.
Alerta aos atingidos
Segundo o pesquisador em segurança da informação da ESET, Daniel Barbosa, falhas de proteção deste tipo, com bancos de dados completamente expostos na internet, estão se tornando comuns, pintando um precedente perigoso para a segurança das instituições e a privacidade dos usuários. “Cabe à universidade tomar as medidas para proteger suas informações e, principalmente, alertas alunos e colaboradores que tenham sido expostos”, indica.
O especialista chama a atenção principalmente para a configuração incorreta de servidores, que propicia brechas dessa categoria, enquanto o ajuste correto é capaz de impedir o acesso indevido. “Caso existam sistemas de controle, é possível saber de que determinado local da internet um arquivo está sendo visualizado e, caso esse uso não seja legítimo, barrar imediatamente”, disse.
Na visão do pesquisador, é bem provável que terceiros tenham acesso indevidamente os dados disponíveis no banco de dados da UEM. Mesmo que as informações ainda não tenham sido utilizadas para golpes ou tentativas de invasão, isso não significa que tais ações possam ocorrer em momentos posteriores. “Normalmente, quem tem acesso e sabe o que está fazendo não usa nada de imediato, mas fica se alimentando da fonte das informações”.
O principal caminho, afirma o especialista, é a dark web, seja para venda dos dados pessoais ou utilização dos dados de contato para distribuição de malware. De acordo com Barbosa, essa seria a exploração mais comum, mas também simples de ser realizada, envolvendo tentativas de obtenção de dados bancários ou credenciais a partir de e-mails fraudulentos que se passem não apenas como a própria universidade, mas também outras empresas e instituições.
Barbosa, entretanto, alerta sobre ataques mais direcionados, com endereços e comprovantes podendo ser vetores de crimes como assaltos e sequestros. No caso da UEM, uma universidade pública, informações financeiras, comprovantes de pagamento de matrícula e demais dados financeiros não estavam disponíveis, mas, ainda assim, a recomendação do pesquisador é que alunos e funcionários fiquem atentos.