Mercado abrirá em 6 h 59 min
  • BOVESPA

    108.095,53
    +537,86 (+0,50%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.056,27
    +137,99 (+0,27%)
     
  • PETROLEO CRU

    73,01
    +0,65 (+0,90%)
     
  • OURO

    1.786,50
    +1,00 (+0,06%)
     
  • BTC-USD

    49.860,88
    -442,76 (-0,88%)
     
  • CMC Crypto 200

    1.305,74
    +0,63 (+0,05%)
     
  • S&P500

    4.701,21
    +14,46 (+0,31%)
     
  • DOW JONES

    35.754,75
    +35,32 (+0,10%)
     
  • FTSE

    7.337,05
    -2,85 (-0,04%)
     
  • HANG SENG

    24.210,02
    +213,15 (+0,89%)
     
  • NIKKEI

    28.805,01
    -55,61 (-0,19%)
     
  • NASDAQ

    16.369,75
    -22,50 (-0,14%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2778
    +0,0037 (+0,06%)
     

Brecha expõe banco de dados de alunos e funcionários de universidade do Paraná

·5 min de leitura

Uma falha de segurança está expondo os bancos de dados internos e, potencialmente, informações pessoais de alunos, candidatos a concursos, professores, funcionários e demais servidores da Unioeste, uma das principais instituições estaduais de ensino superior do Paraná. A brecha que permite acesso a informações internas também permite a visualização de documentos de diferentes setores da instituição de ensino e pode incluir, também, dados financeiros de pessoas registradas junto à organização.

A vulnerabilidade é do tipo SQL Injection, que permite a um atacante inserir instruções indevidas aos servidores a partir de uma consulta ao banco de dados, obtendo, assim, dados eventualmente sigilosos ou que não deveriam estar acessíveis ao público. Mais especificamente, a brecha se encontra em um sistema voltado a alunos e servidores da Unioeste, que acaba revelando endereços de pastas na infraestrutura interna da instituição a partir da inserção de caracteres que não são reconhecidos pelo sistema.

A falha foi revelada ao Canaltech por Giovanni Zadinello, pesquisador em segurança da GZ Segurança. Segundo ele, a exposição de alto risco permite o acesso a 156 bancos de dados da universidade, cada um deles correspondendo a um serviço ou sistema diferente da Unioeste. De acordo com a análise do especialista, seriam mais de 500 GB de informações presentes nos servidores.

Apenas visualizando os títulos dos bancos de dados disponíveis, é possível ter uma dimensão do que está disponível. Além de dados de alunos e do corpo docente da Unioeste, os servidores parecem conter informações sobre diferentes vestibulares e concursos realizados pela instituição, incluindo aqueles para prefeituras de cidades como Toledo e Cascavel, no interior do Paraná, além de provas relacionadas à residência médica nos hospitais da universidade. Dados de eventos e auditorias internas, assim como informações sobre patrimônio, bibliotecas e sistemas de transporte.

<em>Lista de bancos de dados impostos indicam presença de dados pessoais e até informações financeiras; especialista fala em mais de 500 GB de dados disponíveis após falha de SQL Injection (Imagem: Captura de tela/Giovanni Zadinello)</em>
Lista de bancos de dados impostos indicam presença de dados pessoais e até informações financeiras; especialista fala em mais de 500 GB de dados disponíveis após falha de SQL Injection (Imagem: Captura de tela/Giovanni Zadinello)

Zadinello fala, ainda, em uma possível exposição de credenciais de acesso, com e-mails e senhas de alunos e funcionários presentes de forma descriptografada. “Em minha experiência, nunca vi algo tão crítico e com tanta informação [disponível]”, explicou o pesquisador. Ele pondera, entretanto, que vulnerabilidades do tipo SQL Injection são comuns, apesar de, neste caso, apresentarem gravidade muito maior pela possível exposição de informações sensíveis de indivíduos e da própria universidade. “Com a falha, seria possível baixar todas essas informações e realizar ataques de engenharia social e outros tipos de ataques.”

Daniel Cunha Barbosa, especialista em segurança da informação da ESET no Brasil, reitera o perigo envolvendo aberturas desse tipo, que permitem a visualização indevida do conteúdo de bancos de dados que deveriam permanecer fechados. “[O volume] contém informações sensíveis, que podem identificar um indivíduo e gerar complicações adicionais para a própria instituição”, afirma.

O especialista indica, por exemplo, que a presença de bancos de dados relacionados a concursos podm expor informações como nomes completos, CPFs, RGs e estado civil, assim como nacionalidade e etnia dos participantes. Merece atenção especial, ainda, dados referentes aos departamentos financeiros da instituição, especialmente um banco de dados intitulado “cartoesCC”, que pode incluir dados bancários de indivíduos.

A brecha foi denunciada ao Canaltech em 4 de fevereiro e comunicada à Unioeste no dia 8 do mesmo mês. Os dados não foram acessados pela reportagem ou especialistas envolvidos na análise, como forma de evitar mais exposições das informações disponíveis. Não é possível saber desde quando a brecha está disponível ou se já foi explorada de forma maliciosa.

Unioeste confirma falha, mas ainda não fala sobre correção

<em>Exposição de dados pode levar a tentativas de phishing contra alunos, candidatos e servidores da Unioeste, enquanto possível vazamento de informações financeiras podem permitir fraudes (Imagem: Financial Tribune)</em>
Exposição de dados pode levar a tentativas de phishing contra alunos, candidatos e servidores da Unioeste, enquanto possível vazamento de informações financeiras podem permitir fraudes (Imagem: Financial Tribune)

Em resposta, a Unioeste confirmou a existência de uma falha de segurança, mas afirmou que ela não corresponde à natureza do que foi alertado nem pode ser explorada dessa maneira. Segundo porta-voz da instituição, os logins e senhas dos usuários são armazenados em outro sistema, não nos bancos de dados expostos, e nunca em texto simples, mas sim em hashes criptografados.

Além disso, de acordo com a universidade, as páginas vulneráveis possuem limitações que entregam quatro conjuntos de dados por vez, o que dificultaria um download massivo das informações contidas nos bancos. O comunicado, enviado no dia 8 de fevereiro, afirma ainda que as equipes de infraestrutura e desenvolvimento da Unioeste estão analisando a questão e possíveis obtenções dos dados.

Por outro lado, a Unioeste não respondeu a sucessivos contatos sobre uma previsão de solução da vulnerabilidade, que somente foi corrigida em 16 de março. Segundo Zadinello, a página que dá acesso aos sistemas da universidade segue exibindo parâmetros e links relacionados ao banco de dados da instituição, mas as requisições de acesso e possível download dos dados são bloqueadas. A reportagem segue aguardando um retorno.

Recomendação para cadastrados é de cautela

Ainda que não existam indícios e informações sobre possíveis exposições ou explorações dos dados disponíveis, a recomendação é de cautela a alunos, servidores e demais cadastrados em vestibulares e concursos da Unioeste. “Proteção e conscientização são ótimos caminhos. Os usuários [precisam estar] cientes de que criminosos podem tentar abordagens por telefones, e-mail ou mensagens de texto”, explica Barbosa.

Além dos cuidados a serem tomados pelos próprios usuários, o especialista sugere a expiração da senha de todos os usuários como medida, com o envio de links de redefinição por e-mail de forma que as contas sejam protegidas de acessos não-autorizados. Os eventualmente atingidos devem ser notificados sobre a vulnerabilidade, principalmente se a exposição efetivamente incluir dados identificadores ou financeiros, e vale ainda aplicar medidas predefinidas de consultas ao banco de dados e configurações adequadas no tratamento de solicitações para que brechas do tipo SQL Injection não possam ser exploradas maliciosamente.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos