Nesta terça-feira (31), uma falha de segurança no site do Exame Nacional do Ensino Médio (Enem) e do Sistema de Seleção Unificada (Sisu) possibilitou que usuários maliciosos alterassem senhas de candidatos ao vestibular, responsável por selecionar alunos para todas as universidades federais do país. As inscrições para o sistema foram encerradas neste domingo (29).
Os cibercriminosos se aproveitaram de uma falha no processo de autenticação do site que foi exposta em um fórum de tecnologia. Segundo a mensagem postada pelos usuários do serviço, basta arranjar uma conta no banco de cadastrados do SUS, o CadSUS, ou qualquer outro site que revele o CPF da vítima, pedir uma nova senha no site do Sisu e, segundo a postagem, divertir-se “trocando o curso do candidato”.
Segundo o Ministério da Educação (MEC) informou em nota, “não foi detectada nenhuma ocorrência de segurança no ambiente do MEC ou no do Instituto Nacional de Estudos e Pesquisas Educacionais (INEP) que tenha provocado acesso indevido a informações de estudantes cadastrados”.
Porém, segundo explica o diretor da KSecurity, empresa brasileira de cibersegurança, Cleber Marques, as ações realizadas não foram invasões ao servidor do MEC ou do INEP, pois foram ataques de autenticação. Ele explica que houve um erro grave no desenvolvimento do site que permitiu que cibercriminosos trocassem a senha das vítimas sem nenhuma necessidade de maiores conhecimentos de TI.
“Há vários sites na web que disponibilizam uma série de informações das pessoas, como CPF e data de nascimento, por exemplo. Bastou usar essas informações para pedir uma nova senha. O certo seria o sistema confirmar outros dados da pessoa antes disso”, afirma o diretor da KSecurity.
Entre os mecanismos que teriam evitado o problema, ele cita etapas adicionais no processo de recuperação de senha, como o envio da nova senha para o e-mail do candidato, ou o requerimento de perguntas secretas determinadas pelo usuário no momento do cadastro. Para Cleber Marques, o uso de CAPTCHAs para determinar se o usuário é um robô também são importantes nesse caso.
Segundo o diretor da KSecurity, como trata-se de um problema na criação do site, o ideal seria que o código do site fosse todo reescrito e que os usuários tivessem de fazer um novo cadastro.
“Tirar o site do ar e dar início a um novo processo de seleção com o site e os cadastros refeitos é o mínimo que eles deveriam fazer”, finaliza o diretor.