De Medicina a Produção de Cachaça: entenda como malandros 'burlaram' o Enem

Na última terça-feira (31/01), o TecMundo publicou uma notícia sobre o caso de Tereza Gayoso, que teve sua conta no portal do INEP sequestrada por conta do frágil sistema de recuperação de senha. Ela afirma ter se inscrito para medicina no SISU, mas descobriu que invasores a colocaram para concorrer no curso de Produção de Cachaça, em uma instituição no interior de Minas Gerais. Esse e outros casos de alunos prejudicados já estão nas mãos da Polícia Federal, mas a gente resolveu explicar para você como isso teria acontecido.

Antes disso, entretanto, é necessário explicar que não temos como confirmar quem foram os culpados pelo caso. Existem denúncias contra grupos no Facebook como “Panelinha do Bananal” e “Ilha da Macacada”, mas o TecMundo entrou em contato com ambos, que negaram qualquer participação nisso. Evidências mesmo só existem contra um terceiro acusado: um fórum chamado “55chan”, composto por usuários anônimos.

Usuários desse fórum teriam descoberto a falha no portal do INEP e combinado explorá-la para alterar as opções de curso de alunos do Enem um dia antes do prazo final para modificações no sistema. Ou seja, os “trolls” resolveram prejudicar estudantes justamente num momento em que eles não poderiam mais reverter a situação, já que o SISU não permitiu mais alterações nas opções de curso depois dia 27/01.

Uma falha facilmente evitável

É interessante notar que, apesar de os hackers terem de fato cometido um crime e invadido contas de alunos no portal do INEP, o site do instituto praticamente não dificulta a ação de pessoas mal-intencionadas. Uma pessoa que perdeu sua senha do portal pode recuperá-la simplesmente preenchendo um formulário com dados públicos sobre si mesma.

A ação muito provavelmente foi viabilizada pelo CADSUS

O site só pede CPF, data de nascimento, nome completo, nome da mãe e cidade/estado onde mora. Esses detalhes podem ser facilmente obtidos através de uma varredura em redes sociais e também em sistemas de consulta de consumidores. Contudo, caso os usuários do 55Chan sejam os culpados, a ação muito provavelmente foi viabilizada pelo CADSUS.

Nas capturas de tela que você confere a seguir, é possível observar citações claras ao sistema de cadastro do SUS, que já virou base de dados carimbada de hackers há um bom tempo. O TecMundo inclusive já denunciou essa situação, mas, ao que parece, o Ministério da Saúde ainda não resolveu o problema, e senhas e logins da plataforma são vendidos e compartilhados na internet livremente.

Galeria 1

O INEP poderia ter evitado essa situação com uma ação de segurança simples

Criminosos podem adquirir praticamente todos os dados pessoais de um cidadão brasileiro no CADSUS, e todas as informações que o site do INEP requer para recuperar uma senha estão lá.

Mais simples ainda, todos os dados estão estampados na cédula de identidade do aluno. Se ele perdeu o documento, poderia muito facilmente ter sido vítima de um ataque desse tipo.

O INEP, entretanto, poderia ter evitado essa situação com uma ação de segurança relativamente simples: enviar um email de confirmação de alteração de senha para o aluno, em vez de deixa-lo criar uma nova somente verificando alguns dados. Com apenas esse procedimento, os hackers já não poderiam mais acessar as contas sem ter que também invadir o email do candidato.

O que o INEP diz

Nós avisamos a instituição sobre a falha e relatamos que ela precisava ser consertada

O TecMundo entrou em contato com o INEP (Instituto Nacional de Estudos e Pesquisas Educacionais) na última segunda-feira (30) depois de ter recebido uma denúncia de uma fonte anônima sobre a falta de segurança no portal do INEP.

Nós avisamos a instituição sobre a falha e relatamos que ela precisava ser consertada urgentemente. Um dia depois, os casos de alunos prejudicados por isso começaram a aparecer. Por conta disso, nós repercutimos o caso da estudante Tereza Gayoso, que foi revelado pela versão online da revista Época.

O INEP só deu um retorno objetivo ao nosso comunicado ontem (02/02), afirmando que a gestão atual que controla a instituição só estava seguindo os processos ajustados pela gestão anterior.

“[…] é importante destacar que a atual gestão, quando assumiu o INEP, em maio de 2016, já encontrou o processo de inscrição do Enem 2016 em curso, bem como o respectivo edital publicado com base em procedimentos e rotinas adotados em edições anteriores. Nesse sentido, o que a atual gestão fez foi dar seguimento à aplicação do Exame com o máximo de profissionalismo, segurança e dedicação, mesmo diante da situação política do país”, disse a assessoria de imprensa do instituto.

No entanto, nós consultamos o edital em questão no site do próprio INEP e encontramos o segmento do documento que trata sobre a recuperação de senhas. Nele, foi possível perceber que o INEP não seguiu as próprias regras para a realização do Enem 2016.

“5.3.1 A recuperação da senha é feita na Página do Participante no endereço eletrônico http://Enem.inep.gov.br/participante e encaminhada ao e-mail ou celular, via SMS, informado pelo próprio PARTICIPANTE no momento da inscrição”, lê-se no edital.

Se esse tivesse de fato sido o procedimento adotado na página, que não envia SMS nem email para o participante com a nova senha, os casos de alunos com contas sequestradas não teriam acontecido.

O INEP também afirma que está trabalhando em novos procedimentos de segurança para proteger os participantes, mas não pretende implementar nada disso nos próximos dias. “A atual gestão considera [o sistema inseguro] e está trabalhando para aprimorar esse procedimento, entre outros, para a próxima aplicação do Exame”.

Não é preciso ser um hacker

O TecMundo também conversou com especialistas em segurança virtual para que eles pudessem avaliar o caso e dar sua opinião sobre o sistema de recuperação de senhas no portal do INEP. De acordo com eles, não é preciso ser um hacker para invadir a conta de um participante do Enem.

“Em um mundo cada vez mais conectado, qualquer pessoa mal-intencionada pode encontrar facilmente as informações pessoais do usuário — como CPF, data de aniversário e nome dos pais — no ambiente online (redes sociais e sites de busca, por exemplo) e, a partir disso, acessar a conta privada [no portal do INEP]. Esse sistema de troca de senhas não exige nenhuma expertise por parte da pessoa mal-intencionada”, analisou Emílio Simone, gerente de segurança da PSafe.

... é necessário reforçar com urgência a segurança desse portal ...

Ele ainda argumentou que é necessário reforçar com urgência a segurança desse portal, especialmente por se tratar de uma plataforma importante do governo.

Nós perguntamos a Simone como a instituição deveria abordar o problema, e ele mostrou uma solução simples que, na verdade, é praticamente a mesma que o Edital do Enem 2016 exigia que fosse aplicada.

“Uma alternativa para aprimorar a segurança de sistemas desse tipo seria o envio de uma senha temporária para o email cadastrado. Dessa maneira, para acessar a plataforma, o usuário teria que invadir seu email pessoal para, a partir disso, alterar a senha, o que já atuaria como um reforço na segurança”, afirmou.

Criptografia na página

Outra brecha de segurança, além desse sistema falho de recuperação de senhas, é o fato de o portal do INEP não usar criptografia em sua página para realizar o tráfego de dados. O site funciona no antigo e inseguro protocolo HTTP, e não em HTTPS, que é o novo padrão utilizado em plataformas que requerem autenticação de usuários.

Sem o HTTPS, um criminoso pode invadir a sua rede WiFi e interceptar todos os dados que você está enviando e recebendo no site do INEP com pouco esforço. Se a pessoa faz o acesso a partir de uma rede pública, como a de uma loja qualquer ou mesmo em uma lan house, a interceptação é ainda mais fácil, já que o hacker não precisa ter o trabalho de invadir a rede local, que pode ser facilmente acessada.  “Enviar informações confidenciais em protocolos não criptografados é um grande risco”, avaliou Simone.

Você pode fazer alguma coisa?

Se o criminoso tiver acesso ao CADSUS ou qualquer outra plataforma com dados pessoais de cidadãos brasileiros, o estudante que prestou o Enem está praticamente indefeso. Se o criminoso souber seu nome, ele pode pesquisar seu CPF, sua data de nascimento, seu local de moradia e o nome dos seus pais no CADSUS em instantes. Com isso, ele pode alterar sua senha e efetuar qualquer ação no portal do INEP.

Se o criminoso tiver acesso ao CADSUS, o estudante que prestou o Enem está praticamente indefeso

Como as inscrições para o SISU já foram fechadas, não há muito o que fazer por lá no momento, mas a brecha de segurança ainda está aberta. Contudo, caso o estudante pretenda se inscrever em segundas-chamadas, ele pode simplesmente perder a oportunidade, já que um hacker consegue alterar seu email cadastrado e impedir que a pessoa receba eventuais alertas do INEP.

Claro que existe a possibilidade de retomar o acesso à conta facilmente, da mesma forma que os hackers a sequestraram, mas a pessoa precisa ficar atenta e entrar na plataforma frequentemente para conferir se tudo está certo.

Desconsiderando a possibilidade de o criminoso ter acesso ao CADSUS, existem algumas precauções que a pessoa pode tomar para evitar se tornar uma vítima. O pessoal do Avast nos deu “quatro conselhos” para repassar aos estudantes. Dê uma conferida:

1. Cuidado nas redes sociais: compartilhar demais é perigoso. Verifique a configuração de privacidade em suas contas nas redes sociais e procure sempre mantê-las protegidas;
   
   

2. Escaneie seu roteador: não basta apenas escanear seu PC em busca de malwares e vírus, pois um hacker pode também atacar seu roteador, sequestrar seu DNS e levá-lo a sites falsos. Faça isso com a ajuda de um antivírus;
   
   

3. Utilize VPN em internet pública: é necessário criptografar seus dados quando estiver em uma lan house ou utilizando internet gratuita em locais públicos, pois, sem isso, se aquela rede for hackeada, todos os seus dados poderão ser acessados pelo hacker. Utilize sempre uma VPN (Rede Virtual Privada) nesses casos.
   
   

4. Cuidado com ataques de engenharia social: se alguém lhe enviou um email pedindo seus dados pessoais e prometendo dinheiro ou ameaçando processá-lo ou levar seu nome para, por exemplo, o Serasa, desconfie. Dados pessoais nunca devem ser compartilhados online.
   
   

A empresa de segurança ainda recomenda que você crie senhas fortes para todo tipo de conta em plataformas web; mas, no caso do portal do INEP, isso não importa muito, já que infelizmente a senha pode ser redefinida com facilidade.

Via TecMundo.