IFRS tinha falha de segurança que permitia manipular notas e dados de alunos

Por Felipe Demartini | 25 de Março de 2020 às 08h40

Uma falha de segurança no sistema de alunos do Instituto Federal do Rio Grande do Sul (IFRS) dava acesso irrestrito ao banco de dados para qualquer usuário logado. A partir da falha, era possível acessar informações de quase 50 mil estudantes, ex-alunos e servidores de todas as unidades da instituição, bem como alterar informações de cadastro, além de manipular notas, faltas e o sistema como um todo, com direito à criação de novas pastas e até apagar as que já existiam nos servidores.

A brecha foi revelada ao Canaltech por Samuel Andrade, estudante de Matemática do IFRS, e estava localizada em um sistema de mensagens. A partir do recurso de importação da caixa de entrada dos alunos em formato CSV, era possível ter acesso a uma requisição do sistema que, quando manipulada, abria as portas para a visualização e manipulação completa do conteúdo do banco de dados.

As informações expostas incluíam o cadastro de alunos e servidores, contendo nomes completos, documentos, e-mails, fotos e outros dados pessoais, além de informações de contas bancárias. Outros dados também poderiam levar a golpes, como histórico escolar, notas de vestibular e demais registros sobre os docentes.

Falha aparecia em opção de exportação de mensagens de sistema de acesso a dados do aluno, permitindo a manipulação completa do banco de dados da IFRS (Imagem: Reprodução/Felipe Demartini)

“Por meio dessa falha, também é possível obter senhas e alterar dados dos alunos. [Alguém também] poderia deletar o banco de dados inteiro, sem problema nenhum”, explica Andrade. Ele ainda ressalta um terceiro ponto, como a possibilidade de um ataque de negação de serviço dentro da própria infraestrutura, gerando um loop de processamento que faria com que todo o sistema caísse, causando prejuízos ao instituto.

Todos são iguais

A revelação da vulnerabilidade também expôs graves problemas nas políticas de segurança do IFRS, levando à exposição de falhas no método de criptografia utilizado pela instituição. A solicitação que permitia a exploração da brecha, por exemplo, estava criptografada em um método facilmente decifrável a partir de ferramentas online, enquanto, por padrão, as credenciais dos alunos para autenticação no sistema consistiam apenas no número de matrícula e data de nascimento.

Ao mesmo tempo, o sistema não fazia distinção de acordo com o “papel” de cada usuário ativo, permitindo, virtualmente, que todos eles tivessem as permissões necessárias para realizar qualquer tipo de ação no banco de dados. Alunos, por exemplo, poderiam alterar as próprias faltas ou notas, enquanto cibercriminosos conseguiriam buscar e alterar dados pessoais, gerando riscos à segurança real dos estudantes e servidores.

Para explorar a brecha, o estudante criou um campo que emitia ordens ao sistema a partir da solicitação feita ao banco de dados. A partir daí, ele poderia analisar as pastas disponíveis e realizar comandos relacionados a elas. Algumas das informações obtidas em demonstração feita à reportagem também vieram criptografadas, mas, novamente, foi possível descriptografá-las com o uso de conversores online simples, o que demonstra a fraqueza do método utilizado.

Brecha permitia a alteração e transferência de faltas e notas de alunos da IFRS em qualquer disciplina (Imagem: Reprodução/Felipe Demartini)

Ao apresentar o problema, Andrade foi capaz de alterar os próprios dados, além de extrair a senha e visualizar as informações de um colega, tudo mediante autorização do próprio. Além disso, o estudante teve acesso aos próprios boletins, registros de frequência e demais informações de seu próprio histórico escolar. Tudo poderia ser manipulado em favor próprio caso estivéssemos falando de um invasor mal-intencionado.

De acordo com o estudante, a falha foi reportada ao IFRS em fevereiro de 2019 e chegou a receber certa atenção do departamento de tecnologia da informação, mas os contatos cessaram após alguns e-mails trocados. A brecha permaneceu aberta por mais de um ano até o contato de Andrade com o Canaltech, sendo finalmente resolvida no dia 17 de março de 2020.

Em resposta enviada ao Canaltech, o Instituto Federal do Rio Grande do Sul afirmou que o sistema comprometido está em processo de descontinuação, mas continua recebendo assistência até sua total desativação. A instituição taxou o problema como pontual e informou que ele já foi resolvido, mas o departamento de comunicação não informou se existem indícios de acesso não-autorizado aos dados.

Ainda, o IFRS afirmou estar trabalhando na implementação de um novo sistema de gestão de atividades acadêmicas, chamado SIGAA, mais seguro e padronizado. A instituição disse ainda estar trabalhando desde 2018 no planejamento de investimentos, capacitação de pessoal, segurança de dados e aquisições de equipamentos para trazer mais segurança à plataforma. “Contudo, em razão das restrições orçamentárias impostas à Educação, este plano não consegue ser cumprido em sua totalidade, comprometendo, assim, a plena execução das políticas institucionais”, disse a porta-voz da instituição ao Canaltech.

Cuidados

Usuários com dados expostos ficam sujeitos a golpes de phishing, clonagem de WhatsApp e outras tentativas de fraude

Como não existem confirmações sobre o acesso ou não às informações do IFRS por terceiros, o ideal é que estudantes, ex-alunos e servidores do instituto permaneçam vigilantes quanto à possibilidade de fraudes relacionados à exposição das informações. “Quem tem acesso a essa base [de dados] tem informações privilegiadas, que podem levar a golpes envolvendo phishing ou clonagem de WhatsApp", explica Emilio Simoni, diretor de segurança do dfndr Lab, da PSafe.

O especialista aponta, ainda, que a aplicação de apenas um método de criptografia mais forte no servidor não faria muita diferença. “Estes valores não deveriam trafegar entre servidor e cliente, ou vice-versa”, explicou, indicando também duas medidas para mitigar os problemas de segurança encontrados: o uso de um firewall de aplicações web, que detecte e impeça acessos não-autorizados, e a correta validação dos parâmetros recebidos no site, de forma que as devidas permissões sejam dadas a cada tipo de usuário.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.