Grupo Estácio corrige falha que permitia a aluno baixar documentos de outros estudantes


Especialista descobriu que era possível acessar um arquivo que tinha sido requerido por outra pessoa, como histórico escolar ou declaração de gastos para o imposto de renda. Uma falha de segurança no portal de acesso dos alunos do grupo de ensino superior Estácio permitia a um estudante ver documentos solicitados por outros.
A Estácio afirmou que corrigiu a falha no mesmo dia em que foi comunicada. A brecha foi descoberta no último dia 15 pelo analista de segurança da informação David de Paula Santos, que relatou o problema ao blog e repassou as informações à instituição.
Detalhe de endereço que permitia baixar documentos requisitados por outros alunos. Espaço era preenchido por números consecutivos
Reprodução
Embora a falha permitisse o download de vários documentos de qualquer aluno, não era possível acessar o sistema sem ter ao menos um cadastro de aluno na instituição. Isso pode ter contribuído para a brecha não ter sido encontrada e nem explorada antes.
“Não foi detectada nenhuma ação suspeita, como série de acessos ou downloads de diferentes requerimentos”, segundo a Estácio.
Como era a brecha
A falha existia porque documentos solicitados por um aluno (como uma declaração de gastos para imposto de renda ou histórico escolar) recebiam um número de identificação consecutivo a cada requisição (1, 2, 3 e assim por diante) para serem acessados no portal.
Ao trocar o número que aparecia na barra de endereços do navegador era possível baixar a documentação solicitada por outras pessoas. Isso porque o site não verificava se o aluno estava acessando um documento solicitado por ele ou por outro estudante.
Exemplo de Histórico Escolar que podia ser obtido por meio da falha. Documento trazia CPF, RG e outras informações
Reprodução
Com a correção, agora, “ao informar um código que não seja proveniente de um requerimento próprio, é exibida uma página em branco sem nenhuma informação”, explicou a instituição.
Outras falha parecidas
O mesmo tipo de falha já foi identificado pelo analista em um sistema que emitia boletos para a fabricante de antivírus Avast e em um site de cursos do Pronatec Voluntário.
“Acredito que este tipo de falha continua ocorrendo muitas vezes por falta de conscientização de segurança por parte dos programadores e até mesmo por falta de treinamentos internos, pois muitas empresas se preocupam apenas se o sistema está funcionando adequadamente, e a segurança fica de fora”, avalia.
Ele lembra que as empresas precisam ter mais cuidado com esse tipo de problema para que estejam em conformidade com a Lei Geral de Proteção de Dados, que entra em vigor em 2020.