Informações divulgadas pelo Ministério da Educação (MEC) ao G1 nesta quinta-feira (2) mostram detalhes sobre as trocas de senha no perfil de cinco candidatos do Exame Nacional do Ensino Médio ( Enem ) de 2016.

Eles denunciaram atividades suspeitas e "furto" de senhas por parte de terceiros, além de afirmarem que, com a nova senha, seus perfis no Sistema de Seleção Unificada (Sisu) foram invadidos, e suas inscrições foram alteradas sem consentimento.

Dos cinco casos, dois tiveram consequências prejudiciais, quando as candidatas descobriram a suposta invasão só após o fim das inscrições, e viram que acabaram fora da disputa dos cursos que desejavam. Em dois casos, os candidatos perceberam a troca indevida e conseguiram garantir que a inscrição validada no fim do prazo do Sisu estivesse correta. No quinto caso, a estudante já havia desistido de disputar vagas no Sisu deste ano, ao ver que sua nota não era suficiente para garantir uma aprovação em um curso de medicina (leia mais abaixo).

Na quarta-feira (1º), o MEC protocolou um ofício junto à Polícia Federal para investigar as denúncias de furto de senha e acesso indevido aos perfis pessoais destes cinco candidatos e de uma sexta candidata, que alega ter tirado nota mil na redação, mas que sua nota – e sua senha senha – foram modificadas, e a impediram de se inscrever no Sisu. A pasta afirma que "não houve alertas nos sistemas de segurança" e que "nem há indício comportamental típico de episódios promovidos por hackers".

Ao G1, o MEC afirmou que "tem registro de todos os acessos e movimentação dos candidatos, como IP, trocas de senhas (não temos acesso às senhas), acesso com sucesso, senha inválida, se pediu pra trocar a senha, entre várias outras informações que um sistema robusto consta", mas não informou quantos IPs acesseram os perfis, nem a localização desses IPs. "Qualquer mínima informação do tipo é interna, podendo ser repassada apenas em caso de investigação para as autoridades que investigam. O acesso ao sistema por senha é exclusivo do candidato e os dados são sigilosos", disse o ministério, em nota.

Ação combinada por internautas

Na noite de domingo (29), no último dia de inscrições do Sisu, internautas combinaram, por meio de um fórum anônimo, uma ação para aproveitar uma brecha de segurança no sistema de recuperação de senhas do Enem 2016: buscando dados pessoais de candidatos do Enem, como CPF, nome da mãe e data de nascimento, eles poderiam criar uma nova senha de acesso de cada candidato no sistema do Enem, que é integrado ao sistema do Sisu.

1 de 4 Em fórum anônimo, internautas disseminaram dicas sobre como aproveitar brecha de segurança e 'furtar' senhas de candidatos do Enem e do Sisu — Foto: Reprodução Em fórum anônimo, internautas disseminaram dicas sobre como aproveitar brecha de segurança e 'furtar' senhas de candidatos do Enem e do Sisu — Foto: Reprodução

A ação se espalhou depois de surgir no Facebook, em um grupo fechado conhecido por organizar ataques contra alvos específicos.

2 de 4 Grupo fechado no Facebook também discutiu uma ação organizada para trocar inscrições no Sisu de candidatos que se destacaram no Enem — Foto: Reprodução Grupo fechado no Facebook também discutiu uma ação organizada para trocar inscrições no Sisu de candidatos que se destacaram no Enem — Foto: Reprodução

No caso do Sisu, os internautas usaram como alvos estudantes que se destacaram no Enem 2016. Mas, nas conversas registradas nos sites, eles também discutem estratégias como buscar dados de pessoas que conhecem e que sabem que fizeram o Enem. Veja o relato dos cinco estudantes que denunciaram a invasão ao G1, e a resposta do MEC sobre cada caso:

Acesso enquanto dormia

Uma das duas estudantes que acabou de fora da opção de curso que queria foi Anne Caroline Santos, de 19 anos, que tirou a nota máxima na redação do Enem. Ela sonhava em cursar medicina na Universidade Federal de Sergipe (UFS), mas percebeu que não tinha nota suficiente após a divulgação das notas de corte parciais. No domingo (29), no último dia de inscrições do Sisu, ela mudou suas opções: colocou medicina em Mossoró (RN) como primeira opção, e enfermagem na UFS como segunda opção. Sua segunda opção era garantia de aprovação.

“Coloquei enfermagem [na UFS] porque tinha pontos suficientes para passar, mas quando fui conferir o resultado estava alterado. Na segunda opção apareceu medicina na Unioeste/PR. Com isso, não senti a alegria de ser aprovada em um curso superior e agora estou na lista de espera de medicina”, lamentou ela, em entrevista ao G1. Em entrevista ao Bom Dia Brasil, ela afirmou que o último acesso ao seu perfil no Sisu foi feito às 23h30 do domingo (29), quando ela já estava dormindo (assista ao vídeo abaixo):

Estudantes denunciam falhas no Sisu

Resposta do MEC: Atendendo a um pedido do G1, o MEC afirmou que o sistema registrou acesso ao perfil de Anne Caroline durante todos os dias do período de inscrição, que aconteceu entre os dias 24 e 29 de janeiro. Os registros mostram inscrições em quatro cursos: medicina, enfermagem, produção de cachaça e cafeicultura. "Na noite do dia 29, como citado, houve a inscrição, como segunda opção, para o curso de Cafeicultura, trocado por Enfermagem, trocado por Medicina, trocado por Cafeicultura novamente." Segundo o MEC, durante todo o processo de inscrição do Sisu, o acesso ao perfil dela foi feito sempre usando sua senha original, com exceção do último dia, quando o sistema do Enem registrou duas trocas de senha.

Alteração seis minutos antes do prazo

A estudante Manoela Carvalho, de Uberaba, no Triângulo Mineiro, também denunciou o acesso de terceiros em seu perfil no Sisu e alterações indesejadas nas opções de cursos nos quais concorria. A jovem de 22 anos disse ao G1 que havia escolhido vagas nos cursos de ciências biológicas e química da Universidade Federal do Triângulo Mineiro (UFTM). Até o dia 28 de janeiro, quando consultou o site, o cadastro estava certo.

Entretanto, no último dia, os cursos que ela escolheu foram alterados pouco antes das 23h59, fim do prazo de inscrições do Sisu – após esse horário, a inscrição mais recente é a que o sistema considera válida. "Isso foi feito em cima da hora, de uma forma que seria impossível eu reverter a tempo", reclamou Manoela.

Resposta do MEC: Ao G1, o MEC confirmou que o perfil pessoal da estudante no Sisu recebeu 24 acessos, sendo que 23 deles foram feitos usando a senha original. A senha dela no site do Enem, porém, foi alterada na noite do dia 29, e o último acesso ao Sisu foi feito às 23h54, seis minutos antes do fechamento do sistema.

"Eu tô muito inconformada e realmente não tô acreditando em tanta maldade. Acabaram com minha vida por maldade", escreveu a jovem em seu perfil no Facebook.

De medicina para produção de cachaça

Tereza Gomes, da Paraíba, acabou não tendo seu ingresso à universidade prejudicado pela invasão que sofreu, mas, mesmo assim, se assustou com o acesso indevido aos seus dados pessoais. A jovem tenta há cinco anos passar em um curso de graduação em medicina e, no Enem 2016, se destacou nacionalmente por ser uma das 77 pessoas que conseguiram nota mil na prova de redação. Mesmo assim, suas demais provas não tiveram pontuação suficiente para que ela fosse aprovada no curso que queria e, por isso, após acessar uma vez o Sisu, ela desistiu do sistema, e já se matriculou em um cursinho para tentar de novo neste ano.

A notícia de que seu perfil poderia ter sido invadido veio pelo Facebook no fim da manhã desta terça-feira (31), quando ela recebeu mensagens privadas informando que ela estava na lista de aprovados do curso de produção de cachaça, do Instituto Federal de Educação, Ciência e Tecnologia do Norte de Minas Gerais (IFNMG). Foi então que ela se lembrou de outra mensagem, enviada na noite de segunda-feira (30), de uma pessoa desconhecida, com uma imagem da lista de aprovados no curso do IFNMG. Ela diz que achou que fosse uma montagem e não deu atenção. “Imagina se eu tivesse média para passar para medicina? Além disso, prejudicou quem queria esse outro curso”, disse ela ao G1.

Resposta do MEC: O ministério confirmou que o perfil de Tereza no Sisu foi acessado apenas nos dias 24 e 29 de janeiro. A pasta afirmou que "a única opção de escolha de curso que consta é a de Produção de Cachaça, no Instituto de Educação, Ciência e Tecnologia do Norte de Minas Gerais". Além disso, o MEC disse que essa inscrição foi feita às 22h14 do dia 29, cerca de uma hora e meia antes do fim do prazo.

3 de 4 Fórum anônimo na internet explorou brecha de segurança do Enem usando dados da estudante da Paraíba que ganhou repercussão por causa de sua nota mil na redação — Foto: Reprodução Fórum anônimo na internet explorou brecha de segurança do Enem usando dados da estudante da Paraíba que ganhou repercussão por causa de sua nota mil na redação — Foto: Reprodução

17 trocas de senha e 261 tentativas de acesso

O estudante Thales Maciel, de 21 anos, foi aprovado no curso de medicina da Universidade Federal do Mato Grosso do Sul (UFMS) depois de passar dias grudado à tela do computador. Ele começou a suspeitar de tinha sido hackeado porque, todo dia, não conseguia acessar o site do Sisu, e precisava trocar a senha. "Quando conseguia logar via que a minha segunda opção estava sempre mudada. Mexeram nas minhas escolhas todos os dias", afirmou ele ao G1. Em uma das vezes, inclusive, o candidato disse que estava inscrito na Universidade Federal de Goiás (UFG) como cotista, sendo que ele não está no perfil dos contemplados pela lei de cotas, já que fez o ensino médio em uma escola particular.

Thales disse que ficou monitorando o sistema nas últimas horas antes do seu encerramento, às 23h59 do domingo (29), para se certificar que a inscrição estava correta e não correr o risco de ser aprovado em um curso que não escolheu.

Resposta do MEC: Ao G1, a assessoria de imprensa do ministério confirmou que a senha de Thales foi alterada 17 vezes durante o período de inscrições do Sisu, e que seu perfil pessoal no sistema recebeu 261 tentativas de acesso. "O sistema acusa 261 tentativas de acesso, na maioria com sucesso. Além disso, aponta que todas as trocas foram para o curso de medicina envolvendo as universidades do Triângulo Mineiro, do Acre, de Goiás, do Mato Grosso do Sul, de Uberlândia, de Ouro Preto e de Juiz de Fora", diz a nota do ministério.

Denúncias para o MEC e angústia

O estudante João Vitor Teodoro também notou, após o primeiro dia de inscrições no Sisu, que sua inscrição foi alterada sem consentimento. "Sem que eu percebesse, perto da 00:00, minha inscrição foi alterada para a UFG em Jataí (medicina com ações afirmativas), sendo que tinha feito a inscrição na UFTM (medicina ampla concorrência)", disse ele. Na primeira vez, João Vitor não pensou que a alteração era fruto de uma invasão. "Porém isso ocorreu novamente do dia 25 para o 26. E de novo do 26 para o 27 e do 27 para o 28. Esses acontecimentos foram similares: aproximadamente entre 23:00 e 00:00 e sempre para o mesmo lugar."

O jovem chegou a denunciar as mudanças indevidas em duas ligações e uma mensagem para o setor de atendimento do MEC, mas não recebeu resposta. "No dia 29, suspeitando de uma possível invasão, alterei todas as minhas senhas em computador e celular diferentes. Não sei se isso está relacionado ao fato de que a mudança não ocorreu novamente. Quanto mais se aproximava a meia noite, mais angustiados ficávamos, já que não tínhamos certeza se o que fizemos tinha funcionado. Felizmente, não tive mais problemas dessa natureza", disse ele.

Resposta do MEC: Ao G1, o ministério afirmou que "o sistema aponta diversos acessos ao sistema, com algumas trocas de senha no site do Enem, no sistema do Inep, entre os dias 24/01 a 29/01. Todas as trocas envolveram o curso de medicina e ocorreram entre três universidades: Universidade Federal do Triangulo Mineiro, Universidade Federal de Minas Gerais e Universidade Federal de Goiás. Foram muitas trocas como primeira e segunda opções, mas sempre para o curso de medicina."

4 de 4 Em teste feito pelo G1, senha de candidata de São Paulo foi modificada em menos de um minuto, com acesso a alguns dados pessoais — Foto: Reprodução/Inep Em teste feito pelo G1, senha de candidata de São Paulo foi modificada em menos de um minuto, com acesso a alguns dados pessoais — Foto: Reprodução/Inep

Sistema de segurança do Enem ficou menos rígido

Altieres Rohr, especialista em segurança digital e blogueiro do G1, afirmou na terça-feira (31) que o sistema de acesso e recuperação de senha do Enem tem "falhas graves". Segundo ele, para trocar a senha de um usuário, o sistema apenas pede alguns dados que, apesar de pessoais e, teoricamente, sigilosos, são facilmente obtidos por meio de perfis nas redes sociais e acesso a sistemas como o Serasa: CPF, nome completo da mãe, data de nascimento, cidade e estado de residência.

Sistemas mais seguros, segundo ele, usam outras camadas de identificação do usuário, como o envio de um link para criação de nova senha para um endereço de e-mail ou via SMS, ou a exigência de uma pergunta de segurança registrada no ato da criação do perfil.