Uma vulnerabilidade no software de controle escolar, o I-Educar, desenvolvido por meio da Secretaria de Educação do Distrito Federal, revelou o conhecimento não público de aproximadamente 1,5 milhão de acadêmicos da rede pública de ensino. O Hack ganhou os dados exclusivamente, depois de um relatório sem nome.
O I-Educar é um aplicativo desenvolvido para otimizar o procedimento de matrícula de bolsistas em escolas públicas, os alunos se cadastam na plataforma e podem aderir ao procedimento de matrícula por meio da inscrição.
A comprovação da matrícula é um documento que coleta os conhecimentos para um aluno se matricular nas escolas. Dados como: chamada completa; DATA DE NASCIMENTO DO CPF; A chamada completa do número de matrícula da mãe Endereço Escolar do Sexo e se o aluno tem uma deficiência.
Os estudantes podem acessar seu comprovante de inscrição à fórmula, conectando-se aos seus identificadores e clicando no botão para gerar o arquivo. No entanto, até quinta-feira (18), essa fórmula tinha uma vulnerabilidade de referência direta de objeto inseguro ou IDOR, um defeito tril que, quando explorado, só pode fornecer conhecimento de outros alunos, sem permissão, convertendo apenas o código de referência na URL.
Cada prova de registro representa um aluno e, para ser conhecido na fórmula, aquele aluno recebe um código, quando o aluno solicita seu comprovante de matrícula, a fórmula identifica seu código e direciona o aluno para uma página com seu respectivo comprovante de matrícula.
No entanto, este código único foi exposto no final da URL também: “. . . Internet. php? Cod_candidato -0000004”. Ao converter esses números após “cod_candidato” era imaginável acessar o comprovante de matrícula de outros alunos.
O Hack foi testado de 0000004 a 1499699 (os três primeiros são exclusivos dos testes da equipe de geração da secretaria) e concluiu que cerca de 1,5 milhão de acadêmicos tiveram seus conhecimentos expostos através da rede pública de matrículas. , informando-o da vulnerabilidade, solicitando a correção, além de uma cobrança oficial, mas recebeu uma resposta genérica: “A caixa de geração de dados se livrou do link de ar para correções obrigatórias”.
A secretaria informa que corrigiu o desafio após a denúncia, mas não especificou se investigaria o caso (se a vulnerabilidade já havia sido explorada anteriormente), ou se notificaria os acadêmicos sobre a exposição do conhecimento. “O Departamento de Tecnologia se livrou da ligação aérea para correções adequadas”, disse um porta-voz do secretário ao The Hack.
O Hack também entrou em contato com Arthur Pereira Sabbat, diretor do Conselho de Administração da Agência Nacional de Proteção de Dados (ANPD), para informá-lo sobre o vazamento, que diz que a ANPD vai denunciar e comunicar o caso com o governo do Distrito Federal.
Vazamentos de dados de empresas estatais também são dever da ANPD De acordo com o artigo 23 da Lei Geral de Proteção de Dados (LGPD): regulamentos sobre a coleta, processamento, venda e vazamento de conhecimento também devem ser aplicados às empresas estatais, no caso o Ministério da Educação do DF.
É vital não esquecer que, este não é um banco de dados corporativo pessoal gigante (como é o caso dos 220 milhões de CPF, supostamente roubados da Serasa Experian), os recibos de registro, divulgados através da Secretaria de Educação do DF, envolvem dados sensíveis e detalhados de aproximadamente 1,5 milhão de estudantes, dos quais o máximo são menores.
Esta é a primeira filtragem do conhecimento primário de um quadro público desde que a LGPD entrou em vigor em setembro de 2020: um exemplo inteligente de como a ANPD vai lidar com os principais vazamentos das instituições públicas.
Rafael Maciel, presidente do Instituto Goiano de Direito Digital (IGDD), afirma que o cuidado que uma pessoa jurídica terá que tomar na cobertura de seus conhecimentos também terá que ser levado em conta através de órgãos públicos de direito. eles têm que solicitar reembolso se seus conhecimentos forem divulgados, seja através de corporações pessoais ou órgãos públicos.
“Um dos objetivos da LGPD é exatamente proteger os dados dos cidadãos. Tem como objetivo coletar, armazenar e manipular dados não públicos, exigindo maior transparência por parte das empresas públicas e próprias. O vazamento desses dados, o cidadão vai ter que buscar reparação”, conclui, em entrevista ao Jornal Jurid.