Universidade de São Paulo tinha falha que expôs dados de alunos e funcionários

Universidade de São Paulo tinha falha que expôs dados de alunos e funcionários

Por Felipe Demartini | Editado por Claudio Yuge | 17 de Agosto de 2021 às 19h20
Divulgação/USP

Duas falhas de segurança encontradas em plataformas digitais da Universidade de São Paulo (USP) podem ter exposto os dados pessoais de até 188,6 mil pessoas, entre alunos, professores, funcionários e servidores. As brechas estavam disponíveis em sistemas de acesso a serviços internos da universidade e em uma plataforma de ensino, com materiais como aulas gravadas e provas online.

No caso mais grave, relacionado ao portal eDisciplinas, estavam expostos dados pessoais como nomes, endereços completos e números de telefone de alunos, além de informações de acesso. Logins, senhas e detalhes da conta, como o IP do último acesso e a data de criação do perfil, poderiam ser acessados por atacantes a partir de uma técnica chamada SQL Injection, onde as informações inseridas em campos de consulta não são tratados e acabam retornando informações às quais o utilizador, em teoria, não deveria ter acesso.

De acordo com o pesquisador Giovanni Zadinello, da GZ Segurança, que denunciou a brecha ao Canaltech, o total de 188,6 mil pessoas vulneráveis corresponde ao número de usuários com login e senha criados no sistema e presentes. A reportagem não baixou ou visualizou o conteúdo presente no banco de dados exposto, que foi verificado a partir de um script que revelava os tipos de entradas disponíveis no sistema.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Tabela vulnerável em servidor educacional da USP expôs dados de alunos, professores e servidores; brecha já foi mitigada e não existem informações sobre exploração maliciosa (Imagem: Captura de tela/Felipe Demartini/Canaltech)

“Utilizando as credenciais de acesso [aos sistemas] da USP, ataques direcionados poderiam ser realizados, visando acessar outros serviços com os mesmos dados”, explica Zadinello. Ele aponta, também, a própria exposição das informações como um problema, com a disponibilização aberta de um banco de dados desse tipo também podendo levar a tentativas de golpes contra alunos e servidores, em busca de dados financeiros ou de cartão de crédito.

O total de pessoas atingidas também se refere a uma única tabela, exposta nos sistemas da partir da vulnerabilidade. Conforme demonstrou o especialista, outros espaços poderiam conter ainda mais informações, já que é possível encontrar entradas relacionadas a notas, horários, presenças, pagamentos e chats internos, ampliando ainda mais a gravidade de uma possível exposição a terceiros mal-intencionados.

A segunda vulnerabilidade encontrada pelo especialista também está relacionada à obtenção de dados dos estudantes por terceiros, por meio de uma técnica chamada cross-site scripting, ou XSS. A prática envolve, novamente, um tratamento indevido de informações inseridas em campos de texto, permitindo a injeção de códigos maliciosos em uma página legítima.

Demonstração feita por especialista ao Canaltech mostra como brecha pode ser usada na criação de uma página falsa de login, que armazena os dados em servidor sob posse de terceiros maliciosos (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Em uma demonstração feita à reportagem, Zadinello mostrou como a brecha poderia ser usada para criação de campos falsos de login e senha dentro do sistema de visualização de boletos da USP. Os usuários, acreditando se tratar de uma página legítima, podem acabar entregando credenciais e outras informações pessoais a terceiros maliciosos.

Novamente, de posse dos dados, bandidos poderiam tentar acessar outros serviços, como redes sociais, sites bancários ou e-commerces, utilizando as mesmas combinações de login e senha utilizadas na USP, confiando na falta de cuidado das vítimas. Além disso, o ataque poderia ser usado para a criação de volumes de informação que, mais tarde, poderiam ser utilizados em ataques diretos.

Porta fechada

O Canaltech informou a universidade sobre a vulnerabilidade no dia 6 de agosto, passando os detalhes sobre as duas explorações denunciadas. A reportagem não recebeu resposta sobre o caso, assim como o próprio pesquisador, que também tentou contato com a instituição. Entretanto, em 11 de agosto, o próprio Zadinello notou que as duas aberturas haviam sido mitigadas, não sendo mais possível realizar as explorações no ambiente online.

Em breve nota, a Superintendência de Tecnologia da Informação (STI) da USP confirmou a existência da brecha e também sua correção:

"A vulnerabilidade estava na integração do moodle com algumas interfaces da USP e foi devidamente corrigida. Agradecemos muito o site Canaltech pela informação".

Não existem informações sobre um possível acesso ao servidor desprotegido por terceiros, nem indícios de coleta ou vazamento do banco de dados disponível. A cautela é a principal recomendação para aqueles que foram eventualmente afetados por essa brecha, que devem manter o olho vivo para contatos em nome da USP e outras instituições por telefone, e-mail ou mensageiros instantâneos.

Os usuários devem evitar clicar em links que cheguem por estes meios, bem como preencher cadastros ou baixar aplicativos fora de sites e domínios especiais. Sistemas operacionais devem ser mantidos sempre atualizados, assim como softwares de segurança, que quando ativos, ajudam a identificar ameaças mais comuns e páginas fraudulentas.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.