DATA DA PUBLICAÇÃO 13/11/2017 | Tecnologia
Falha em site de cursos do Pronatec Voluntário expôs notas e dados
Ficha de aluno exposta pela falha e detalhe do número da matrícula no endereço, que podia ser alterado para acessar outras matrículas. (Foto: Reprodução/David de Paula Santos)
A plataforma do Pronatec Oferta Voluntária da Prospere, uma das instituições que oferecem cursos dessa modalidade, tinha uma falha de segurança que permitia a um aluno cadastrado acessar dados de outros alunos, incluindo as notas obtidas e informações pessoais, como CPF, RG, data de nascimento e nome da mãe. Para explorar a falha, bastava mudar o número da matrícula exposta na barra de endereços do navegador quando o aluno acessa seu próprio histórico.
O problema foi encontrado pelo analista de segurança da informação David de Paula Santos no dia 22 de outubro e relatado à Prospere, que eliminou a falha no sistema. "Elaborei um relatório e enviei para os responsáveis pelo sistema e rapidamente foram muito solícitos e corrigiram a vulnerabilidade", contou o analista. Santos fazia um curso de Libras na plataforma.
A Prospere confirmou a colaboração. "Recebemos uma contribuição de um de nossos alunos, informando, que ele, enquanto aluno, utilizando sua senha de acesso ao AVA [ambiente virtual de aprendizagem] da escola, utilizando a ferramenta de impressão do certificado de conclusão e histórico, conseguiu, trocando aleatoriamente o valor de um dos parâmetros da URL da referida ferramenta, visualizar algumas informações de outro aluno da instituição acessando o pré-impresso disponibilizado para impressão", disse a instituição, em comunicado enviado ao blog Segurança Digital do G1.
A instituição agradeceu a colaboração. "Agradecemos, acatamos, como acatamos outras contribuições de alunos e colaboradores, seja sobre o material, estrutura física, AVA, professores etc. Tudo visando a melhoria contínua de nossos processos", afirmou a Prospere.
O blog Segurança Digital perguntou à Prospere se há algum indício de que as informações foram acessadas de forma maliciosa para capturar os dados de alunos, mas a instituição não respondeu até a publicação desta reportagem.
Santos, que informou o problema à instituição, elogiou o tratamento dado à questão. "Como analista de segurança da informação e aluno, fiquei muito grato pelo atendimento recebido após o contato com os responsáveis pelo sistema", afirmou ele. "Fiquei muito contente com a importância que deram ao meu relato, pois muitas empresas não demonstram interesse nas falhas apontadas por pessoas 'de fora' e até mesmo ignoram os contatos".
Em nota, o Ministério da Educação informou que não gerencia os portais das instituições que participam do programa Pronatec Oferta Voluntária. O ministério explicou que muitos cursos são oferecidos na modalidade de educação a distância (EaD), o que significa que cada instituição parceira tem sua própria plataforma online para a realização dos cursos. Mais informações sobre o programa podem ser obtidas no site do MEC.
Como essa falha acontece?
Esse tipo de brecha ocorre quando um site utiliza identificadores consecutivos (1, 2, 3, 4...) para registrar dados e/ou não verifica se quem está acessando os dados tem a devida permissão para tal.
Quando dados são acessados por um usuário autenticado com senha, o sistema do site deve verificar se aquela pessoa que está realizando o acesso tem permissão para visualizar os dados solicitados (ou seja, um aluno A não pode ver notas do aluno B). Já no caso de o sistema não utilizar acesso autenticado com senha, os valores que identificam os dados não podem ser consecutivos, de modo a impedir que seja possível adivinhar os valores que levem aos dados de outras pessoas.
O sistema de pagamento por boleto utilizado pela fabricante de antivírus Avast tinha a mesma vulnerabilidade, que foi também encontrada por David de Paula Santos. Outra brecha muito semelhante existia em um site promocional da Samsung, permitindo acessar os dados de outros clientes alterando o número de cadastro em link recebido por e-mail.
O problema foi encontrado pelo analista de segurança da informação David de Paula Santos no dia 22 de outubro e relatado à Prospere, que eliminou a falha no sistema. "Elaborei um relatório e enviei para os responsáveis pelo sistema e rapidamente foram muito solícitos e corrigiram a vulnerabilidade", contou o analista. Santos fazia um curso de Libras na plataforma.
A Prospere confirmou a colaboração. "Recebemos uma contribuição de um de nossos alunos, informando, que ele, enquanto aluno, utilizando sua senha de acesso ao AVA [ambiente virtual de aprendizagem] da escola, utilizando a ferramenta de impressão do certificado de conclusão e histórico, conseguiu, trocando aleatoriamente o valor de um dos parâmetros da URL da referida ferramenta, visualizar algumas informações de outro aluno da instituição acessando o pré-impresso disponibilizado para impressão", disse a instituição, em comunicado enviado ao blog Segurança Digital do G1.
A instituição agradeceu a colaboração. "Agradecemos, acatamos, como acatamos outras contribuições de alunos e colaboradores, seja sobre o material, estrutura física, AVA, professores etc. Tudo visando a melhoria contínua de nossos processos", afirmou a Prospere.
O blog Segurança Digital perguntou à Prospere se há algum indício de que as informações foram acessadas de forma maliciosa para capturar os dados de alunos, mas a instituição não respondeu até a publicação desta reportagem.
Santos, que informou o problema à instituição, elogiou o tratamento dado à questão. "Como analista de segurança da informação e aluno, fiquei muito grato pelo atendimento recebido após o contato com os responsáveis pelo sistema", afirmou ele. "Fiquei muito contente com a importância que deram ao meu relato, pois muitas empresas não demonstram interesse nas falhas apontadas por pessoas 'de fora' e até mesmo ignoram os contatos".
Em nota, o Ministério da Educação informou que não gerencia os portais das instituições que participam do programa Pronatec Oferta Voluntária. O ministério explicou que muitos cursos são oferecidos na modalidade de educação a distância (EaD), o que significa que cada instituição parceira tem sua própria plataforma online para a realização dos cursos. Mais informações sobre o programa podem ser obtidas no site do MEC.
Como essa falha acontece?
Esse tipo de brecha ocorre quando um site utiliza identificadores consecutivos (1, 2, 3, 4...) para registrar dados e/ou não verifica se quem está acessando os dados tem a devida permissão para tal.
Quando dados são acessados por um usuário autenticado com senha, o sistema do site deve verificar se aquela pessoa que está realizando o acesso tem permissão para visualizar os dados solicitados (ou seja, um aluno A não pode ver notas do aluno B). Já no caso de o sistema não utilizar acesso autenticado com senha, os valores que identificam os dados não podem ser consecutivos, de modo a impedir que seja possível adivinhar os valores que levem aos dados de outras pessoas.
O sistema de pagamento por boleto utilizado pela fabricante de antivírus Avast tinha a mesma vulnerabilidade, que foi também encontrada por David de Paula Santos. Outra brecha muito semelhante existia em um site promocional da Samsung, permitindo acessar os dados de outros clientes alterando o número de cadastro em link recebido por e-mail.
Assine nosso Feed RSSAs últimas | Tecnologia
21/09/2018 | Brasileiro fica quase 3 horas por dia assistindo a vídeos online; aumento foi de 135% em 4 anos
19/09/2018 | Sony anuncia PlayStation Classic, versão mini do PS1 com 20 jogos na memória
18/09/2018 | A curiosa razão por que o relógio sempre marca 9:41 nos anúncios da Apple
As mais lidas de Tecnologia
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda