MEC comete falha prevista na LGPD e expõe dados de estudantes

Williane Marques de Sousa
Publicado em: ter, 21/09/2021 - 15:09

Recentemente, milhões de estudantes brasileiros tiveram seus dados expostos na internet devido a uma falha nos sistemas no Instituto Nacional de Estudos e Pesquisas Educacionais (Inep), uma autarquia federal vinculada ao Ministério do Educação. A informação foi detectada e divulgada pela revista digital "The Hack" que, ao testar o acesso aos dados cadastrados, descobriu que era possível saber informações pessoais sobre os estudantes cadastrados na plataforma.

Dentre os dados que ficaram expostos estão: o nome dos candidatos, seus respectivos e-mails, senhas, gênero e até nome da mãe. Com essa falha no sistema, qualquer pessoa inscrita no Enade (Exame Nacional de Desempenho dos Estudantes), com conhecimentos básicos de programação e um token (dispositivo eletrônico gerador de senhas), poderia acessar os dados de outros alunos. Vale ressaltar também que o sistema é ligado ao banco de dados do Enem (Exame Nacional do Ensino Médio) e, por isso, foi possível consultar informações de participantes das duas avaliações desde 1995.

Curso online LGPD – Lei Geral de Proteção de Dados – Aplicações e Boas Práticas

O presidente da Associação Brasileira de Segurança Cibernética, Hiago Kin, explicou que os dados do Inep estão protegidos por uma camada de segurança chamada de "Ocultação por Busca Determinante”. Nesta configuração, é necessário inserir uma informação para que outra apareça, neste caso, o CPF do cidadão. A falha, portanto, encontra-se na “Busca Vazia”, em que é possível aplicar comandos de busca que tragam todos ou uma série de dados, o que não deveria ser permitido.

Geralmente, somente com a senha de consulta (token) seria possível realizar a busca de dados de outros candidatos. Porém, com esta falha no sistema, uma consulta qualquer retornou dados de outras pessoas também. Isso fez com que o hacker, usando um token gerado pela sua autenticação, pudesse consultar tudo, tendo acesso aos dados dos demais candidatos.

Na realidade, esse tipo de vulnerabilidade no sistema é muito comum e recebe o nome de “Broken Access Control”. Ela é causada pela falta de configuração e programação adequada das ferramentas que fornecem a consulta aos dados, que devem ser tratadas para responder somente aos que lhes foi consultado.

Palestra LGPD – Lei Geral de Proteção de Dados

Com esta falha, estima-se que 5.283.901 de cidadãos tiveram seus dados expostos. Mas, calma, não é motivo para pânico! Afinal, não houve, de fato, um vazamento, nem uma facilitação de vazamento. O que ocorreu foi a apenas a exposição dos dados, pois não foram encontrados indícios de vazamentos destes dados expostos vindos do Inep em nenhum dos canais de inteligência monitorados pela Associação Brasileira de Segurança Cibernética.

Porém, embora não tenha ocorrido o vazamento de dados, a simples exposição destes dados é arriscada, já que esse tipo de dado permite que muita gente lucre aplicando golpes, podendo até mesmo abrir contas em nome de terceiros. Com o avanço da tecnologia, a prática de ações criminosas como essa ficaram mais recorrentes: os infratores acompanharam o avanço tecnológico e agora estão agindo no meio virtual.

Como dito anteriormente, dados como nome, gênero e nome da mãe foram expostos com a falha no sistema do Inep. Tais dados são considerados dados sensíveis pela LGPD (Lei Geral de Proteção de Dados), pois são informações que podem ser usadas para identificar pessoas com fins de discriminação. Esta Lei, que visa proteger a privacidade e assegurar a transparência no uso de dados, protege com mais especificidade os dados pessoais sensíveis e impõe que o acesso e o tratamento desse tipo de dado devem ser feitos com mais cautela.

Seminário Governança Eletrônica e Lei Geral de Proteção de Dados LGPD

Sobre o ocorrido, o Inep e o Ministério da Educação afirmaram ao “The Hack” que corrigiram parcialmente as falhas, aplicando medidas de contenção no sistema para corrigir o erro. O Inep se colocou à disposição para prestar as informações necessárias e afirmou que a ação não gerou danos ao sistema. Por fim, a autarquia assegurou que a vulnerabilidade identificada não representa risco à realização do Enade 2021, com aplicação prevista para 14 de novembro.

De qualquer forma, é sempre importante ficar atento a situações como essa que envolvem o uso e compartilhamento de dados pessoais. Para isso, é importante conhecer a Lei Geral de Proteção de Dados que foi criada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Vale ressaltar, por fim, que as sanções para quem descumprir as normas impostas pela LGPD já podem ser aplicadas.

Williane Marques de Sousa
Estudante de Direito

REFERÊNCIAS:

https://www.uol.com.br/tilt/noticias/redacao/2021/09/10/falha-no-sistema...

Nota do editor: os textos, fotos, vídeos, tabelas e outros materiais iconográficos publicados no espaço “opinião” não refletem necessariamente nosso pensamento, sendo de total responsabilidade do(s) autor(es) as informações, juízos de valor e conceitos divulgados.