Uma grave brecha de segurança expôs os dados de dezenas de milhares de estudantes de universidades como Anhembi Morumbi (UAM), FMU e Business School São Paulo (BSP). A falha estava em um sistema de boletos gerenciado pela Laureate, instituição que gerencia essas e outras dezenas de instituições de ensino ao redor do mundo, e permitia o acesso às informações de qualquer estudante ou ex-aluno sem a necessidade de login ou verificação de credenciais.

A vulnerabilidade, indicada ao Canaltech por uma fonte que prefere permanecer anônima, exigia apenas a manipulação de uma URL para que boletos de pagamentos de virtualmente todos os alunos das três instituições pudessem ser acessados. E com eles estavam presentes dados pessoais como nomes completos, CPFs, endereços, e-mails e datas de nascimento, além de informações como valores pagos, os cursos e períodos em que os alunos estão matriculados.

Os indícios de uma abordagem insegura no acesso à informação aparecem já na tela de login, que exige CPF e data de nascimento do aluno para acesso, ambos facilmente encontrados na internet e que podem dar acesso ao restante do cadastro disponível no sistema. Outro problema foi encontrado no próprio endereço dos boletos, que utiliza o número do documento como ID e, sendo assim, permitia sua manipulação para que os dados de qualquer estudante pudessem ser visualizados.

Nomes completos, endereços, e-mails e informações dos cursos apareciam nos boletos e código-fonte, em brecha nos sistemas da Laureate (Imagem: Reprodução/Felipe Demartini)

Além disso, em uma dinâmica estranha, usuários efetivamente logados no sistema da Laureate não podiam acessar as informações uns dos outros, com o sistema exibindo uma mensagem de que o boleto em questão pertence a outro aluno caso tentassem realizar a manipulação. Por outro lado, aqueles não-credenciados tinham acesso livre aos documentos e também ao código-fonte da plataforma, que não só exibia os dados dos afetados, como também informações do banco de dados.

“Parece que o sistema foi criado há anos e nunca atualizado, demonstrando despreocupação com segurança”, afirmou a fonte do Canaltech, que também indicou erros de código e outras possibilidades de manipulação para permitir o acesso aos dados. Segundo ela, o servidor deveria checar as credenciais do aluno a cada acesso ao sistema, apenas liberando a visualização caso as informações batessem.

“Parâmetros sensíveis estavam sendo exibidos na barra de endereços, e sem um vínculo à sessão de cada usuário, o simples fato de mudar algo [na URL] já permitia a qualquer um obter acesso às informações de outras pessoas”, explica Daniel Barbosa, especialista em segurança da informação da ESET no Brasil. Segundo ele, o problema é comum e a falta de uma implementação adequada de segurança leva a esse tipo de transtorno.

Descoberta e solução

Após notificação pelo Canaltech, brecha levou uma semana para ser corrigida. A instituição não confirmou por quanto tempo os dados ficaram expostos (Imagem: Reprodução/Felipe Demartini)

O caso foi reportado ao Canaltech em 12 de fevereiro, dias após, segundo a fonte, o problema ter sido revelado à Laureate. O responsável pela observação da brecha disse não ter recebido nenhuma resposta sobre o caso, que foi resolvido mais de uma semana após o contato da reportagem com a assessoria de imprensa da Anhembi Morumbi.

Uma nota da instituição afirmando que todas as medidas cabíveis para solução estavam sendo tomadas foi enviada ao Canaltech no dia 13 de fevereiro, mas a brecha foi solucionada apenas uma semana depois de ser enviada à universidade, na quarta-feira (19), apesar de a combinação insegura de CPF e data de nascimento ainda ser utilizada para acesso ao sistema.

Ainda assim, desde então o sistema exibe uma mensagem de que o boleto acessado pertence a outro aluno para todos os usuários deslogados, enquanto os devidamente credenciados podem visualizar apenas as próprias informações e documentos. Em novo comunicado, a Anhembi Morumbi disse ter apurado o caso e tomado as ações necessárias para correção, o que incluiu também uma nova verificação de segurança em todo o sistema.

A instituição disse ainda dedicar investimentos e reforços redobrados à manutenção de suas plataformas de segurança da informação, de forma a garantir a confiabilidade de seus alunos, professores e funcionários administrativos. Entretanto, a universidade não confirmou o total de estudantes atingidos pela brecha.

“A segurança dos usuários deve ser sempre o primeiro ponto considerado na implementação de um sistema, com os dados sendo protegidos tanto quanto possível”, completa Barbosa. O especialista lembra ainda a existência da Lei Geral de Proteção de Dados (LGPD), já sancionada, mas que passa a valer apenas em agosto deste ano, como mais um fator a ser levado em conta, uma vez que a segurança das informações pessoais em sistemas online passa a ser um direito garantido pela legislação.

Olho vivo contra golpes

Indivíduos comprometidos devem ficar atentos a tentativas de fraude ou phishing, com hackers procurando obter mais informações pessoais ou senhas de acesso (Imagem: Gemalto)

Como não se sabe por quanto tempo a brecha esteve aberta nem se houve acesso indevido às informações expostas, uma vez que a instituição não deu respostas quanto a isso, a ideia é que todos os alunos que passaram pela universidade de 2012 a 2019 podem ter tido seus dados comprometidos. Um hacker, sabendo da vulnerabilidade, poderia rapidamente configurar um sistema automatizado para coletar as informações e, mais tarde, utilizá-las em golpes contra os atingidos.

Em ataques de engenharia social, eles poderiam se passar por representantes da própria universidade para enviar boletos falsos ou exigir pagamentos indevidos. Além disso, outras tentativas de fraude ou extorsão poderiam acontecer a partir dos dados comprometidos, assim como golpes de roubo de identidade ou tentativas de invasão de sistemas na combinação com outros bancos de dados vazados.

Por isso, para os estudantes e ex-alunos da FMU, Anhembi Morumbi e Business School São Paulo, o ideal é ficar de olho em mensagens suspeitas que cheguem por e-mail, SMS ou mensageiros instantâneos, bem como ligações de cobrança ou solicitação de dados em nome das instituições. Em caso de dúvida, entre em contato diretamente com a universidade para verificação da veracidade dos contatos.