Universidade de São Paulo tinha falha que expôs dados de alunos e funcionários

Duas falhas de segurança encontradas em plataformas digitais da Universidade de São Paulo (USP) podem ter exposto os dados pessoais de até 188,6 mil pessoas, entre alunos, professores, funcionários e servidores. As brechas estavam disponíveis em sistemas de acesso a serviços internos da universidade e em uma plataforma de ensino, com materiais como aulas gravadas e provas online.

• Vulnerabilidades conhecidas ainda representam maior perigo para as empresas
• Vazamento no Detran-SP traz 2 milhões de linhas de registros sigilosos
• O Brasil está preparado para ataques contra empresas de infraestrutura?

No caso mais grave, relacionado ao portal eDisciplinas, estavam expostos dados pessoais como nomes, endereços completos e números de telefone de alunos, além de informações de acesso. Logins, senhas e detalhes da conta, como o IP do último acesso e a data de criação do perfil, poderiam ser acessados por atacantes a partir de uma técnica chamada SQL Injection, onde as informações inseridas em campos de consulta não são tratados e acabam retornando informações às quais o utilizador, em teoria, não deveria ter acesso.

De acordo com o pesquisador Giovanni Zadinello, da GZ Segurança, que denunciou a brecha ao Canaltech, o total de 188,6 mil pessoas vulneráveis corresponde ao número de usuários com login e senha criados no sistema e presentes. A reportagem não baixou ou visualizou o conteúdo presente no banco de dados exposto, que foi verificado a partir de um script que revelava os tipos de entradas disponíveis no sistema.

“Utilizando as credenciais de acesso [aos sistemas] da USP, ataques direcionados poderiam ser realizados, visando acessar outros serviços com os mesmos dados”, explica Zadinello. Ele aponta, também, a própria exposição das informações como um problema, com a disponibilização aberta de um banco de dados desse tipo também podendo levar a tentativas de golpes contra alunos e servidores, em busca de dados financeiros ou de cartão de crédito.

O total de pessoas atingidas também se refere a uma única tabela, exposta nos sistemas da partir da vulnerabilidade. Conforme demonstrou o especialista, outros espaços poderiam conter ainda mais informações, já que é possível encontrar entradas relacionadas a notas, horários, presenças, pagamentos e chats internos, ampliando ainda mais a gravidade de uma possível exposição a terceiros mal-intencionados.

A segunda vulnerabilidade encontrada pelo especialista também está relacionada à obtenção de dados dos estudantes por terceiros, por meio de uma técnica chamada cross-site scripting, ou XSS. A prática envolve, novamente, um tratamento indevido de informações inseridas em campos de texto, permitindo a injeção de códigos maliciosos em uma página legítima.

Em uma demonstração feita à reportagem, Zadinello mostrou como a brecha poderia ser usada para criação de campos falsos de login e senha dentro do sistema de visualização de boletos da USP. Os usuários, acreditando se tratar de uma página legítima, podem acabar entregando credenciais e outras informações pessoais a terceiros maliciosos.

Novamente, de posse dos dados, bandidos poderiam tentar acessar outros serviços, como redes sociais, sites bancários ou e-commerces, utilizando as mesmas combinações de login e senha utilizadas na USP, confiando na falta de cuidado das vítimas. Além disso, o ataque poderia ser usado para a criação de volumes de informação que, mais tarde, poderiam ser utilizados em ataques diretos.

Porta fechada

O Canaltech informou a universidade sobre a vulnerabilidade no dia 6 de agosto, passando os detalhes sobre as duas explorações denunciadas. A reportagem não recebeu resposta sobre o caso, assim como o próprio pesquisador, que também tentou contato com a instituição. Entretanto, em 11 de agosto, o próprio Zadinello notou que as duas aberturas haviam sido mitigadas, não sendo mais possível realizar as explorações no ambiente online.

Em breve nota, a Superintendência de Tecnologia da Informação (STI) da USP confirmou a existência da brecha e também sua correção:

"A vulnerabilidade estava na integração do moodle com algumas interfaces da USP e foi devidamente corrigida. Agradecemos muito o site Canaltech pela informação".

Não existem informações sobre um possível acesso ao servidor desprotegido por terceiros, nem indícios de coleta ou vazamento do banco de dados disponível. A cautela é a principal recomendação para aqueles que foram eventualmente afetados por essa brecha, que devem manter o olho vivo para contatos em nome da USP e outras instituições por telefone, e-mail ou mensageiros instantâneos.

Os usuários devem evitar clicar em links que cheguem por estes meios, bem como preencher cadastros ou baixar aplicativos fora de sites e domínios especiais. Sistemas operacionais devem ser mantidos sempre atualizados, assim como softwares de segurança, que quando ativos, ajudam a identificar ameaças mais comuns e páginas fraudulentas.