ūüéß Escutando The Great Gig in The Sky by Pink Floyd
ūüáßūüá∑ Agora em Curitiba, PR

Uninterleaks: 90 mil documentos pessoais expostos online

Por Guilmour Rossi
4 de Maio de 2018

Olá, amigxs! Deixa eu contar para vocês que ainda no mês de Fevereiro deste ano me deparei com uma pequena - mas poderosa - falha em um dos sistemas do Centro Universitário Uninter, um dos maiores centros universitários do Brasil.

Captura de tela do computador, com alguns dos arquivos baixados. A maioria PDFs e JPGs. Eram mais de 90 mil arquivos, a maioria deles com mais de um documento escaneado por arquivo.

A vulnerabilidade estava em um dos portais que recebe inscri√ß√Ķes de alunos contemplados com bolsas estudantis por programas do governo, sendo, ent√£o, a ponte de acesso dos estudantes, os quais devem submeter seus documentos para serem analisados pelos funcion√°rios da faculdade.

Na lista de documentos a serem enviados à análise estão:

  • RG;
  • CPF;
  • Carteira de Trabalho;
  • Holerites;
  • Comprovantes de resid√™ncia;

entre outros.

O ruim √© que, atualmente, essa gama de documentos √© a que possibilita quase todas as rela√ß√Ķes entre o cidad√£o e outras institui√ß√Ķes.

A falha

O erro no sistema era tremendamente b√°sico, o que pode mostrar certa falta de comprometimento com os dados de milhares de estudantes.

Vamos lá… Para o candidato tentar a vaga com o benefício do PROUNI, ele precisava enviar a documentação inteira de forma digitalizada pelo site oferecido pela Uninter. Nesse processo de upload dos arquivos é que a falha dava as caras. Na hora do upload, o arquivo era enviado ao servidor e ganhava uma identificação composta de algarismos inteiros, e que era sequencial em relação aos outros arquivos.

A possível falta de comprometimento não se dava só no nível técnico do sistema, mas também no próprio processo de envio dos documentos. Eram pedidos mais de um documento do mesmo item comprobatório, além de exigirem alguns documentos autenticados em cartório.

O segundo parágrafo do site do PROUNI é categórico:

‚Äú√Č vedado ao coordenador do Prouni solicitar a autentica√ß√£o em cart√≥rio das c√≥pias dos documentos, que devem ter a autenticidade atestada por meio da apresenta√ß√£o das vias originais no momento de aferi√ß√£o das informa√ß√Ķes prestadas pelo candidato.‚ÄĚ

Mas, talvez para economizar uma graninha, a instituição não faz tal aferição pessoalmente, deixando tudo online e colocando na conta dos candidatos o pagamento e o deslocamento até o cartório.

Devidamente escaneado e enviado, o arquivo, j√° no servidor, poderia ser acessado atrav√©s de um link, do tipo: portal.prouni.com.br/CadastroArquivo/Download/%INTEIRO, onde troca-se ‚ÄúINTEIRO‚ÄĚ pelo n√ļmero inteiro atrelado aquele arquivo.

O problema √© que se voc√™ colocasse qualquer outro n√ļmero nesta URL, voc√™ poderia ter acesso aos arquivos enviados por outras pessoas tamb√©m.

Sim, simples assim. Testei para alguns n√ļmeros aleat√≥rios e continuei recebendo os arquivos. ‚ÄúDeve existir um limite para os downloads ent√£o‚ÄĚ, pensei. Mas que nada. Fiz um pequeno la√ßo em bash e os arquivos continuavam vindo, um a um. Deixei para ver at√© onde ia, e puts!, depois de algumas horas eu havia baixado quase 140GB em arquivos, distribu√≠dos em mais de 90 mil documentos pessoais.

Além de travar meu gerenciador de arquivos, aquilo me assustou muito. Eram os documentos pessoais de milhares de pessoas que sonhavam em fazer uma faculdade e depositaram esse anseio naquele sistema.

Estar com aqueles n√ļmeros de CPFs, RGs, endere√ßos, etc. era o mesmo que segurar uma bomba que potencialmente poderia machucar essas pessoas. Tratei logo de apagar todos do meu disco r√≠gido, inclusive usando sobreposi√ß√£o aleat√≥ria para que qualquer resqu√≠cio dos arquivos no HD ficasse ineleg√≠vel.

Reportando o problema

Durante o processo fiquei preocupadíssimo com os dados de todas essas pessoas. Pela simplicidade da falha, imaginei que fosse muito provável que outros enxeridos já pudessem ter se aproveitado dela. Pedidos de cartão de crédito, compra de mercadorias, dados vendidos para marketing e outras dezenas de usos ilícitos poderiam ser feitos com essa papelada toda.

No mesmo dia entrei em contato com o e-mail de assessoria da Uninter, sem relatar a falha, apenas pedindo para que me passassem o contato do pessoal do setor de TI.

A resposta dos responsáveis pelo sistema só veio 48 horas depois, me pedindo para que eu desse mais detalhes sobre o erro que havia encontrado. Mas adivinhem só… Naquele momento a falha havia sido corrigida.

Ou seja, eles pareciam ter plena consciência da brecha de segurança, mas negligenciaram isso por mais de seis meses - o primeiro arquivo datava de Agosto de 2017 - até serem avisados por um estudante.

Em resposta a esse primeiro e-mail deles, respondi com detalhes sobre a falha mesmo assim, mas por algum motivo não obtive nenhum tipo de resposta até hoje.

Ao menos corrigiram a vulnerabilidade e espero que nenhum candidato (ou seus familiares) tenha sido prejudicado com ela.

Ainda assim, dados os acontecimentos, permanece a d√ļvida se a empresa est√° realmente preocupada em levar o ensino a dist√Ęncia - o qual tem aberto portas para tantas pessoas terem a chance de realizarem uma gradu√ß√£o - ou se ela √© apenas mais um¬†player¬†no processo de financeiriza√ß√£o do capital na educa√ß√£o superior do pa√≠s.

‚Äď Guilmour