4 de Maio, 2018.

Uninterleaks: 90 mil documentos pessoais expostos online

Olá, amigxs! Deixa eu contar para vocês que ainda no mês de Fevereiro deste ano me deparei com uma pequena - mas poderosa - falha em um dos sistemas do Centro Universitário Uninter, um dos maiores centros universitários do Brasil.

A vulnerabilidade estava em um dos portais que recebe inscrições de alunos contemplados com bolsas estudantis por programas do governo, sendo, então, a ponte de acesso dos estudantes, os quais devem submeter seus documentos para serem analisados pelos funcionários da faculdade.

Na lista de documentos a serem enviados à análise estão:

  • RG;
  • CPF;
  • Carteira de Trabalho;
  • Holerites;
  • Comprovantes de residência;

entre outros.

O ruim é que, atualmente, essa gama de documentos é a que possibilita quase todas as relações entre o cidadão e outras instituições.

A falha

O erro no sistema era tremendamente básico, o que pode mostrar certa falta de comprometimento com os dados de milhares de estudantes.

Vamos lá… Para o candidato tentar a vaga com o benefício do PROUNI, ele precisava enviar a documentação inteira de forma digitalizada pelo site oferecido pela Uninter. Nesse processo de upload dos arquivos é que a falha dava as caras. Na hora do upload, o arquivo era enviado ao servidor e ganhava uma identificação composta de algarismos inteiros, e que era sequencial em relação aos outros arquivos.

A possível falta de comprometimento não se dava só no nível técnico do sistema, mas também no próprio processo de envio dos documentos. Eram pedidos mais de um documento do mesmo item comprobatório, além de exigirem alguns documentos autenticados em cartório.

O segundo parágrafo do site do PROUNI é categórico:

“É vedado ao coordenador do Prouni solicitar a autenticação em cartório das cópias dos documentos, que devem ter a autenticidade atestada por meio da apresentação das vias originais no momento de aferição das informações prestadas pelo candidato.”

Mas, talvez para economizar uma graninha, a instituição não faz tal aferição pessoalmente, deixando tudo online e colocando na conta dos candidatos o pagamento e o deslocamento até o cartório.

Devidamente escaneado e enviado, o arquivo, já no servidor, poderia ser acessado através de um link, do tipo: portal.prouni.com.br/CadastroArquivo/Download/%INTEIRO, onde troca-se “INTEIRO” pelo número inteiro atrelado aquele arquivo.

O problema é que se você colocasse qualquer outro número nesta URL, você poderia ter acesso aos arquivos enviados por outras pessoas também.

Sim, simples assim. Testei para alguns números aleatórios e continuei recebendo os arquivos. “Deve existir um limite para os downloads então”, pensei. Mas que nada. Fiz um pequeno laço em bash e os arquivos continuavam vindo, um a um. Deixei para ver até onde ia, e puts!, depois de algumas horas eu havia baixado quase 140GB em arquivos, distribuídos em mais de 90 mil documentos pessoais.

Além de travar meu gerenciador de arquivos, aquilo me assustou muito. Eram os documentos pessoais de milhares de pessoas que sonhavam em fazer uma faculdade e depositaram esse anseio naquele sistema.

Estar com aqueles números de CPFs, RGs, endereços, etc. era o mesmo que segurar uma bomba que potencialmente poderia machucar essas pessoas. Tratei logo de apagar todos do meu disco rígido, inclusive usando sobreposição aleatória para que qualquer resquício dos arquivos no HD ficasse inelegível.

Reportando o problema

Durante o processo fiquei preocupadíssimo com os dados de todas essas pessoas. Pela simplicidade da falha, imaginei que fosse muito provável que outros enxeridos já pudessem ter se aproveitado dela. Pedidos de cartão de crédito, compra de mercadorias, dados vendidos para marketing e outras dezenas de usos ilícitos poderiam ser feitos com essa papelada toda.

No mesmo dia entrei em contato com o e-mail de assessoria da Uninter, sem relatar a falha, apenas pedindo para que me passassem o contato do pessoal do setor de TI.

A resposta dos responsáveis pelo sistema só veio 48 horas depois, me pedindo para que eu desse mais detalhes sobre o erro que havia encontrado. Mas adivinhem só… Naquele momento a falha havia sido corrigida.

Ou seja, eles pareciam ter plena consciência da brecha de segurança, mas negligenciaram isso por mais de seis meses - o primeiro arquivo datava de Agosto de 2017 - até serem avisados por um estudante.

Em resposta a esse primeiro e-mail deles, respondi com detalhes sobre a falha mesmo assim, mas por algum motivo não obtive nenhum tipo de resposta até hoje.

Ao menos corrigiram a vulnerabilidade e espero que nenhum candidato (ou seus familiares) tenha sido prejudicado com ela.

Ainda assim, dados os acontecimentos, permanece a dúvida se a empresa está realmente preocupada em levar o ensino a distância - o qual tem aberto portas para tantas pessoas terem a chance de realizarem uma gradução - ou se ela é apenas mais um player no processo de financeirização do capital na educação superior do país.