Pesquisar
Close this search box.

Dados de quase 1,5 milhão de alunos são expostos por falha na Secretaria da Educação do DF

Publicado em
Dados de quase 1,5 milhão de alunos são expostos por falha na Secretaria da Educação do DF

Uma vulnerabilidade no software de gestão escolar, I-Educar, desenvolvido pela Secretaria da Educação do Distrito Federal, deixou exposto dados pessoais de quase 1,5 milhão de alunos da rede pública de ensino. A The Hack recebeu a informação com exclusividade, a partir de uma denúncia anônima.

O I-Educar é um aplicativo desenvolvido para otimizar o processo de matrícula de alunos nas escolas da rede pública. Os alunos se inscrevem na plataforma e podem acompanhar o processo de matrícula, acessando um comprovante de matrícula.

O comprovante de matrícula é um documento que reúne os dados necessários para que um aluno se matricule nas escolas. Dados como: nome completo; data de nascimento; CPF; nome completo da mãe; número de inscrição; sexo; endereço; grau de escolaridade e se o aluno é portador de alguma deficiência.

Exemplo de comprovante de matrícula, disponível no I-Estudante. Foto: The Hack.
Exemplo de comprovante de matrícula, disponível no I-Estudante. Foto: The Hack.

Os alunos podem acessar seus comprovantes de matrícula pelo sistema, logando com suas credenciais e clicando no botão para gerar o arquivo. No entanto, até quinta-feira (18) esse sistema contava com uma vulnerabilidade de Referência Insegura Direta a Objeto (Insecure Direct Object Reference ou IDOR), uma falha banal, que quando explorada, pode fornecer dados de outros alunos, sem autorização, apenas mudando o código de referência na URL.

Como funciona

Cada comprovante de matrícula representa um aluno e para ser identificado no sistema, este aluno recebe um código único. Quando o aluno faz uma requisição do seu comprovante de matrícula, o sistema identifica o seu código único e encaminha o aluno para uma página com o seu respectivo comprovante de matrícula.

No entanto, esse código único, estava exposto no final da URL, desta forma: “…internet.php?cod_candidato=0000004”. Ao alterar estes números após “cod_candidato=”, era possível acessar os comprovantes de matrícula de outros alunos.

Bastava mudar o código depois de “cod_candidato=” para acessar a matrícula dos alunos. Foto: The Hack.
Bastava mudar o código depois de “cod_candidato=” para acessar a matrícula dos alunos. Foto: The Hack.

A The Hack testou do 0000004 até o 1499699 (sendo os 3 primeiros, exclusivos para testes da equipe de tecnologia da secretaria) e concluiu que quase 1,5 milhão de alunos estavam com seus dados expostos pelo próprio sistema de matrículas em escolas públicas. A redação entrou em contato com a Secretaria da Educação do Distrito Federal, informando sobre a vulnerabilidade, pedindo a correção, além de um posicionamento oficial, mas obteve uma resposta genérica: “a área de Tecnologia da Informação retirou o link do ar para as devidas correções”.

Como a ANPD lida com empresas públicas?

A secretaria informa que corrigiu o problema depois da denúncia, mas não disse se vai investigar o caso (descobrir se a vulnerabilidade já foi explorada anteriormente), nem se vai avisar os alunos sobre a exposição dos dados. “A área de tecnologia retirou o link do ar para as devidas correções”, disse um porta-voz da secretaria a The Hack.

Sistema foi desligado para a correção da falha. Foto: The Hack.
Sistema foi desligado para a correção da falha. Foto: The Hack.

A The Hack também entrou em contato com Arthur Pereira Sabbat, diretor do conselho de diretores da Agência Nacional de Proteção de Dados (ANPD), informando sobre o vazamento. O diretor conta que a ANPD vai informar e acompanhar o caso com o Governo do Distrito Federal.

Vazamentos de dados de empresas públicas também é responsabilidade da ANPD. Segundo o artigo 23 da Lei Geral de Proteção de Dados (LGPD): as regulações quanto a coleta, tratamento, venda e vazamento de dados também devem ser aplicadas a empresas públicas, neste caso a Secretaria de Educação do DF.

É importante lembrar que, embora não seja um banco de dados de uma empresa privada gigante (como é o caso dos 220 milhões de CPFs, supostamente roubados da Serasa Experian), os comprovantes de matrículas, vazados pela Secretaria de Educação do DF, possuem dados delicados e detalhados de quase 1,5 milhão de estudantes, sendo a maioria destes, menores de idade.

Este é o primeiro grande vazamento de dados de uma organização pública desde que a LGPD começou a valer, em setembro de 2020: um bom exemplo para identificarmos como a ANPD vai lidar com grandes vazamentos de instituições públicas.

O presidente do Instituto Goiano de Direito Digital (IGDD), Rafael Maciel, explica que os cuidados que uma empresa privada deve ter com relação à proteção dos seus dados, também devem ser considerados por organizações de direito público. E a população deve procurar indenização caso tenha seus dados vazados, tanto por empresas privadas, como organizações públicas.

“Um dos objetivos da LGPD é exatamente proteger os dados do cidadão. Ela visa regulamentar a coleta, o armazenamento e a manipulação de dados pessoais, exigindo maior transparência por parte de empresas públicas e privadas. Assim, caso haja o vazamento destes dados, o cidadão deve sim buscar reparação”, conclui, em entrevista ao Jornal Jurid.

Fonte: The Hack

COMPARTILHAR
VEJA TAMBÉM
SITE
#38 12/24 Última Reunião de DepJur de 2024: Metodologias Ágeis e Planejamento para 2025 Nossa última reunião de
Imagem de Pete Linforth por Pixabay
Resolução conjunta estabelece novas normas que se aplicam a investimentos no mercado financeiro e de valores mobiliários
Direito e tecnologia (the-lightwriter/Getty Images)
Tecnologia não vai acabar com os cartórios, mas pode transformá-los profundamente; entenda.
4146-4-3-2
Nícolas Fabeni, CEO da StartLaw, explica como soluções jurídicas automatizadas e baseadas em IA permitem às PMEs acelerarem seus negócios de forma prática e acessível.
EMPRESAS ALIADAS E MANTENEDORAS

Receba nossa Newsletter

Nossas novidades direto em sua caixa de entrada.