Brecha expõe dados de alunos e funcionários da UEM

Por Redação GMC Online Publicado 31/07/2019 às 19h28 Atualizado 23/02/2023 às 17h20

Tempo de leitura estimado: 00:00

Uma brecha de segurança na Universidade Estadual de Maringá (UEM) expôs dados pessoais de alunos e funcionários, além de documentos internos da administração. As informações estavam disponíveis em servidores da instituição e podiam ser acessadas por qualquer um por meio da internet, sem a exigência de senhas, credenciais de acesso ou qualquer tipo de verificação de segurança.

As informações são do Canaltech e foram publicadas nesta quarta-feira (31) em reportagem do site.

Conforme a reportagem, a falha foi reportada ao site de tecnologia pelo estudante de engenharia de software e pesquisador em segurança Giovanni Zadinello, que disse ter encontrado a brecha ao perceber que um diretório de provas dos vestibulares da UEM também possuía livre acesso.

Foi a partir daí que o especialista localizou a raiz do servidor vulnerável, com todos os dados disponíveis. O volume era grande, composto por dezenas de pastas que traziam as identificações de diferentes setores da UEM, indo desde departamentos financeiros e de planejamento até a biblioteca central, reitoria, pós-graduação e, no caso mais grave, registros de alunos e cadastros. Ainda, os backups de bancos de dados diários da instituição também podiam ser baixados.

Segundo a reportagem, o que torna a exposição de dados um pouco mais grave é que havia informações pessoais de alunos e funcionários plenamente acessíveis, como CPF, assinaturas e endereços de emails.

O que diz a UEM

Ao Canaltech, o corpo técnico da Universidade Estadual de Maringá informou que um erro de configuração no servidor permitiu a visualização e download dos arquivos “contornando a forma com que deveriam ser acessados”. A instituição disse não ser possível precisar por quanto tempo os dados estiveram disponíveis publicamente, mas disse acreditar que a exposição não durou mais de um mês.

A falha foi reportada por Zadinello ao Canaltech no dia 17 de julho, com o acesso aos servidores fechado cinco dias depois. Mesmo neste curto tempo, afirma o pesquisador, é possível que um indivíduo malicioso tenha baixado os conjuntos de informações para, depois, utilizá-los em tentativas de golpe.

“Com um simples programa de força bruta em domínios, seria possível encontrar não apenas este, como mais diretórios abertos com bastante facilidade”, afirmou o especialista ao Canaltech. Não é possível, porém, saber com certeza se as informações foram baixadas por terceiros.

Por outro lado, a universidade minimiza os potenciais danos causados pela brecha, afirmando não ter localizado, no volume acessível, informações que já não estavam disponíveis em outras partes do portal da instituição. “Caso seja encontrado algum material sensível, os possíveis afetados serão imediatamente informados”, garantiu.

Confira na íntegra o posicionamento da UEM:

“O Núcleo de Processamento de Dados (NPD) da Universidade Estadual de Maringá (UEM) garante que a falha em um dos servidores da instituição não levou ao acesso de dados pessoais de alunos e funcionários, bem como a informações sensíveis da administração. A constatação se deu após uma cuidadosa análise das entradas registradas no servidor que apresentou, temporariamente, uma falha de segurança. Informando que o problema foi corrigido logo após ser detectado, o setor ainda esclarece que boa parte dos dados que estavam abertos são informações já disponíveis para consulta pública.
Além disso, a vulnerabilidade daquele servidor não atinge informações sigilosas do vestibular da UEM já a Comissão responsável pelo concurso possui uma rede interna própria, sem alcance externo. As consultas possíveis se restringem a dados estatísticos, provas já realizadas, editais, etc.”

Leia a reportagem completa aqui.