Mercado fechado
  • BOVESPA

    113.282,67
    -781,69 (-0,69%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.105,71
    -358,56 (-0,70%)
     
  • PETROLEO CRU

    73,95
    +0,65 (+0,89%)
     
  • OURO

    1.750,60
    +0,80 (+0,05%)
     
  • BTC-USD

    42.828,69
    -1.421,65 (-3,21%)
     
  • CMC Crypto 200

    1.067,20
    -35,86 (-3,25%)
     
  • S&P500

    4.455,48
    +6,50 (+0,15%)
     
  • DOW JONES

    34.798,00
    +33,18 (+0,10%)
     
  • FTSE

    7.051,48
    -26,87 (-0,38%)
     
  • HANG SENG

    24.192,16
    -318,82 (-1,30%)
     
  • NIKKEI

    30.248,81
    +609,41 (+2,06%)
     
  • NASDAQ

    15.319,00
    +15,50 (+0,10%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2556
    +0,0306 (+0,49%)
     

Universidade de São Paulo tinha falha que expôs dados de alunos e funcionários

·4 minuto de leitura

Duas falhas de segurança encontradas em plataformas digitais da Universidade de São Paulo (USP) podem ter exposto os dados pessoais de até 188,6 mil pessoas, entre alunos, professores, funcionários e servidores. As brechas estavam disponíveis em sistemas de acesso a serviços internos da universidade e em uma plataforma de ensino, com materiais como aulas gravadas e provas online.

No caso mais grave, relacionado ao portal eDisciplinas, estavam expostos dados pessoais como nomes, endereços completos e números de telefone de alunos, além de informações de acesso. Logins, senhas e detalhes da conta, como o IP do último acesso e a data de criação do perfil, poderiam ser acessados por atacantes a partir de uma técnica chamada SQL Injection, onde as informações inseridas em campos de consulta não são tratados e acabam retornando informações às quais o utilizador, em teoria, não deveria ter acesso.

De acordo com o pesquisador Giovanni Zadinello, da GZ Segurança, que denunciou a brecha ao Canaltech, o total de 188,6 mil pessoas vulneráveis corresponde ao número de usuários com login e senha criados no sistema e presentes. A reportagem não baixou ou visualizou o conteúdo presente no banco de dados exposto, que foi verificado a partir de um script que revelava os tipos de entradas disponíveis no sistema.

<em>Tabela vulnerável em servidor educacional da USP expôs dados de alunos, professores e servidores; brecha já foi mitigada e não existem informações sobre exploração maliciosa (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Tabela vulnerável em servidor educacional da USP expôs dados de alunos, professores e servidores; brecha já foi mitigada e não existem informações sobre exploração maliciosa (Imagem: Captura de tela/Felipe Demartini/Canaltech)

“Utilizando as credenciais de acesso [aos sistemas] da USP, ataques direcionados poderiam ser realizados, visando acessar outros serviços com os mesmos dados”, explica Zadinello. Ele aponta, também, a própria exposição das informações como um problema, com a disponibilização aberta de um banco de dados desse tipo também podendo levar a tentativas de golpes contra alunos e servidores, em busca de dados financeiros ou de cartão de crédito.

O total de pessoas atingidas também se refere a uma única tabela, exposta nos sistemas da partir da vulnerabilidade. Conforme demonstrou o especialista, outros espaços poderiam conter ainda mais informações, já que é possível encontrar entradas relacionadas a notas, horários, presenças, pagamentos e chats internos, ampliando ainda mais a gravidade de uma possível exposição a terceiros mal-intencionados.

A segunda vulnerabilidade encontrada pelo especialista também está relacionada à obtenção de dados dos estudantes por terceiros, por meio de uma técnica chamada cross-site scripting, ou XSS. A prática envolve, novamente, um tratamento indevido de informações inseridas em campos de texto, permitindo a injeção de códigos maliciosos em uma página legítima.

<em>Demonstração feita por especialista ao Canaltech mostra como brecha pode ser usada na criação de uma página falsa de login, que armazena os dados em servidor sob posse de terceiros maliciosos (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Demonstração feita por especialista ao Canaltech mostra como brecha pode ser usada na criação de uma página falsa de login, que armazena os dados em servidor sob posse de terceiros maliciosos (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Em uma demonstração feita à reportagem, Zadinello mostrou como a brecha poderia ser usada para criação de campos falsos de login e senha dentro do sistema de visualização de boletos da USP. Os usuários, acreditando se tratar de uma página legítima, podem acabar entregando credenciais e outras informações pessoais a terceiros maliciosos.

Novamente, de posse dos dados, bandidos poderiam tentar acessar outros serviços, como redes sociais, sites bancários ou e-commerces, utilizando as mesmas combinações de login e senha utilizadas na USP, confiando na falta de cuidado das vítimas. Além disso, o ataque poderia ser usado para a criação de volumes de informação que, mais tarde, poderiam ser utilizados em ataques diretos.

Porta fechada

O Canaltech informou a universidade sobre a vulnerabilidade no dia 6 de agosto, passando os detalhes sobre as duas explorações denunciadas. A reportagem não recebeu resposta sobre o caso, assim como o próprio pesquisador, que também tentou contato com a instituição. Entretanto, em 11 de agosto, o próprio Zadinello notou que as duas aberturas haviam sido mitigadas, não sendo mais possível realizar as explorações no ambiente online.

Em breve nota, a Superintendência de Tecnologia da Informação (STI) da USP confirmou a existência da brecha e também sua correção:

"A vulnerabilidade estava na integração do moodle com algumas interfaces da USP e foi devidamente corrigida. Agradecemos muito o site Canaltech pela informação".

Não existem informações sobre um possível acesso ao servidor desprotegido por terceiros, nem indícios de coleta ou vazamento do banco de dados disponível. A cautela é a principal recomendação para aqueles que foram eventualmente afetados por essa brecha, que devem manter o olho vivo para contatos em nome da USP e outras instituições por telefone, e-mail ou mensageiros instantâneos.

Os usuários devem evitar clicar em links que cheguem por estes meios, bem como preencher cadastros ou baixar aplicativos fora de sites e domínios especiais. Sistemas operacionais devem ser mantidos sempre atualizados, assim como softwares de segurança, que quando ativos, ajudam a identificar ameaças mais comuns e páginas fraudulentas.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos