“Sisu precisa sair do ar e se reorganizar”, diz especialista de segurança

Para Cleber Marques, diretor da KSecurity, erro na construção do site causou falha no sistema de troca de senhas do Enem e do Sisu e possibilitou casos de alteração de cursos dos candidatos

Compartilhar:

Nesta terça-feira (31), uma falha de segurança no site do Exame Nacional do Ensino Médio (Enem) e do Sistema de Seleção Unificada (Sisu) possibilitou que usuários maliciosos alterassem senhas de candidatos ao vestibular, responsável por selecionar alunos para todas as universidades federais do país. As inscrições para o sistema foram encerradas neste domingo (29).

 

Os cibercriminosos se aproveitaram de uma falha no processo de autenticação do site que foi exposta em um fórum de tecnologia. Segundo a mensagem postada pelos usuários do serviço, basta arranjar uma conta no banco de cadastrados do SUS, o CadSUS, ou qualquer outro site que revele o CPF da vítima, pedir uma nova senha no site do Sisu e, segundo a postagem, divertir-se “trocando o curso do candidato”.

 

Segundo o Ministério da Educação (MEC) informou em nota, “não foi detectada nenhuma ocorrência de segurança no ambiente do MEC ou no do Instituto Nacional de Estudos e Pesquisas Educacionais (INEP) que tenha provocado acesso indevido a informações de estudantes cadastrados”.

 

Porém, segundo explica o diretor da KSecurity, empresa brasileira de cibersegurança, Cleber Marques, as ações realizadas não foram invasões ao servidor do MEC ou do INEP, pois foram ataques de autenticação. Ele explica que houve um erro grave no desenvolvimento do site que permitiu que cibercriminosos trocassem a senha das vítimas sem nenhuma necessidade de maiores conhecimentos de TI.

 

“Há vários sites na web que disponibilizam uma série de informações das pessoas, como CPF e data de nascimento, por exemplo. Bastou usar essas informações para pedir uma nova senha. O certo seria o sistema confirmar outros dados da pessoa antes disso”, afirma o diretor da KSecurity.

 

Entre os mecanismos que teriam evitado o problema, ele cita etapas adicionais no processo de recuperação de senha, como o envio da nova senha para o e-mail do candidato, ou o requerimento de perguntas secretas determinadas pelo usuário no momento do cadastro. Para Cleber Marques, o uso de CAPTCHAs para determinar se o usuário é um robô também são importantes nesse caso.

 

Segundo o diretor da KSecurity, como trata-se de um problema na criação do site, o ideal seria que o código do site fosse todo reescrito e que os usuários tivessem de fazer um novo cadastro.

 

“Tirar o site do ar e dar início a um novo processo de seleção com o site e os cadastros refeitos é o mínimo que eles deveriam fazer”, finaliza o diretor.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365