Eles só queriam estudar informática!

giphy.gif
 

Dados sensíveis de aproximadamente 750 candidatos aos cursos oferecidos pela Fundação Indaiatubana de Educação e Cultura (FIEC) foram expostos na web após um hacker ter invadido um banco de dados supostamente ligado à instituição. A The Hack recebeu com exclusividade um arquivo de texto contendo as informações sensíveis dos estudantes no domingo retrasado (5) e usou a semana passada para apurar o caso.

No documento (que atribui a autoria do vazamento ao indivíduo identificado apenas como “8i3lz3r”), constam nome completo, data de nascimento, email, RG, CPF, números de telefone (fixo e celular) e endereço completo com CEP. O autor da manobra aponta ainda que o domínio vulnerável seria o www.infobasica.fiecdev.com.br, atualmente fora do ar, mas que teoricamente serviria para concentrar candidaturas ao curso de informática da FIEC.

O arquivo inclui ainda uma amostra de outras tabelas, como logins e senhas dos administradores do sistema e informações sobre as turmas de estudo formadas (com horário das aulas, data de início e fim do ano letivo e o instrutor responsável). Por fim, temos referências a outros dados que poderiam vazar, como “lembretes” e “permissões”.

Em contato com a equipe da The Hack, o setor de comunicação da FIEC primeiramente negou conhecer qualquer acesso não-autorizado aos seus sistemas. Porém, em uma interação posterior, o órgão afirmou ter averiguado e constatado que o site apontado “não possui nenhum vínculo” com a FIEC, sendo um projeto de alunos do curso de informática básica.

“O sistema que teve a ocorrência apontada não está hospedado em servidor dentro da Instituição [...] Como esses arquivos chegaram ao seu conhecimento, o departamento de TI informou que irá iniciar um procedimento, junto a empresa, onde estão hospedados os dados da aplicação, para que possamos ter as informações referentes aos acessos que ocorreram”, explicou um porta-voz.

A resposta, porém, não é satisfatória. Ao analisar o domínio fiecdev.com.br, podemos constatar que ele foi registrado por e está no nome de “APM do Colégio Técnico de Indaiatuba FIEC”, ou seja, a Associação de Pais e Mestres da sede da instituição. Indo além, a The Hack entrou em contato telefônico com alguns cidadãos citados no arquivo vazado e eles confirmaram não apenas que os dados são verdadeiros, mas que também teriam se inscrito para o curso em questão.

Fica difícil engolir que um site tecnicamente robusto — com formulários e bancos de dados — tenha sido feito por alunos de um curso de informática básica. Além disso, mesmo que isso seja verdade, a responsabilidade de resguardar a privacidade dos futuros estudantes continua sendo da FIEC. A instituição prometeu que consultará um especialista em segurança de aplicações para realizar análises mais detalhadas.


While you were sleeping...

  • Um senador dos EUA apresentou um projeto que pretende impedir a venda de loot boxes e pacotes “pay-to-win” para games voltados ao público infantil — o que, vamos concordar, não deixa de ser uma boa ideia.

  • Uma comissão aprovou a Medida Provisória 869/2018 da Lei Geral de Proteção de Dados, o que significa que a Autoridade Nacional de Proteção de Dados (ANPD) será criada como um órgão vinculado à Presidência da República.

  • O Inmetro se credenciou para atuar como uma entidade certificadora, aplicando a certificação digital como uma medida adicional em dispositivos metrológicos (como bombas de combustível e balanças comerciais).

  • A FCC (órgão equivalente à Anatel nos EUA) vetou a entrada da operadora chinesa China Mobile no mercado norte-americano — obviamente, com medo de eventuais programas de vigilância e espionagem em massa.

 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.