A plataforma do Pronatec Oferta Voluntária da Prospere, uma das instituições que oferecem cursos dessa modalidade, tinha uma falha de segurança que permitia a um aluno cadastrado acessar dados de outros alunos, incluindo as notas obtidas e informações pessoais, como CPF, RG, data de nascimento e nome da mãe. Para explorar a falha, bastava mudar o número da matrícula exposta na barra de endereços do navegador quando o aluno acessa seu próprio histórico.

O problema foi encontrado pelo analista de segurança da informação David de Paula Santos no dia 22 de outubro e relatado à Prospere, que eliminou a falha no sistema. “Elaborei um relatório e enviei para os responsáveis pelo sistema e rapidamente foram muito solícitos e corrigiram a vulnerabilidade”, contou o analista. Santos fazia um curso de Libras na plataforma.

Ficha de aluno exposta pela falha e detalhe do número da matrícula no endereço, que podia ser alterado para acessar outras matrículas. (Foto: Reprodução/David de Paula Santos)

A Prospere confirmou a colaboração. “Recebemos uma contribuição de um de nossos alunos, informando, que ele, enquanto aluno, utilizando sua senha de acesso ao AVA (ambiente virtual de aprendizagem) da escola, utilizando a ferramenta de impressão do certificado de conclusão e histórico, conseguiu, trocando aleatoriamente o valor de um dos parâmetros da URL da referida ferramenta, visualizar algumas informações de outro aluno da instituição acessando o pré-impresso disponibilizado para impressão”, disse a instituição, em comunicado.

A instituição agradeceu a colaboração. “Agradecemos, acatamos, como acatamos outras contribuições de alunos e colaboradores, seja sobre o material, estrutura física, AVA, professores etc. Tudo visando a melhoria contínua de nossos processos”, afirmou a Prospere.

Santos, que informou o problema à instituição, elogiou o tratamento dado à questão. “Como analista de segurança da informação e aluno, fiquei muito grato pelo atendimento recebido após o contato com os responsáveis pelo sistema”, afirmou ele. “Fiquei muito contente com a importância que deram ao meu relato, pois muitas empresas não demostram interesse nas falhas apontadas por pessoas ‘de fora’ e até mesmo ignoram os contatos”.

Em nota, o Ministério da Educação informou que não gerencia os portais das instituições que participam do programa Pronatec Oferta Voluntária. O ministério explicou que muitos cursos são oferecidos na modalidade de educação a distância (EaD), o que significa que cada instituição parceira tem sua própria plataforma online para a realização dos cursos. Mais informações sobre o programa podem ser obtidas no site do MEC.

Como essa falha acontece?
Esse tipo de brecha ocorre quando um site utiliza identificadores consecutivos (1, 2, 3, 4…) para registrar dados e/ou não verifica se quem está acessando os dados tem a devida permissão para tal.

Quando dados são acessados por um usuário autenticado com senha, o sistema do site deve verificar se aquela pessoa que está realizando o acesso tem permissão para visualizar os dados solicitados (ou seja, um aluno A não pode ver notas do aluno B). Já no caso de o sistema não utilizar acesso autenticado com senha, os valores que identificam os dados não podem ser consecutivos, de modo a impedir que seja possível adivinhar os valores que levem aos dados de outras pessoas.