Uma falha presente em um sistema do Instituto Mix, maior franquia de escolas de cursos profissionalizantes do Brasil, permitia o acesso completo a uma série de dados sensíveis — incluindo informações detalhadas sobre alunos, funcionários e franqueados. A denúncia, enviada com exclusividade à The Hack, foi feita pelo pesquisador independente que preferiu se identificar somente pelo apelido de Fotrax. A apuração do caso já perdura desde o dia 21 de agosto.
- Gostaria de denunciar alguma vulnerabilidade, vazamento ou outro incidente cibernético para nós? Envie um email para hello@thehack.com.br; garantimos a sua total privacidade.
De acordo com Fotrax, a vulnerabilidade foi detectada de forma praticamente acidental: ele localizou um diretório acessível publicamente no servidor da instituição, e, nessa pasta, constava o instalador do sistema de gerenciamento de franquias. Ao depurar tal aplicação — construída na linguagem Java —, o especialista percebeu que ela recupera uma chave criptográfica de determinada URL e a “desembaralha” localmente na máquina do usuário.
Bastou então achar as funções usadas para descriptografar a chave e Fotrax obteve um arquivo de texto simples contendo os hosts e senhas dos servidores MySQL do Instituto Mix. A franquia está presente no Brasil inteiro, já tendo matriculado mais de 700 mil alunos em centenas de unidades espalhadas por 400 cidades ao redor do país. Isto posto, já é possível ter uma ideia da quantidade de dados que tais servidores armazenavam.
Tem de tudo!
A The Hack não obteve acesso ao banco de dados em si, mas conseguiu provas concretas de que, de fato, a invasão era simples e trazia resultados absurdos. Explorando a brecha, era possível visualizar dados cadastrais completos de praticamente qualquer aluno ou ex-aluno do Instituto Mix, tal como informações sobre os franqueados e funcionários de todas as unidades.
O servidor também era utilizado para armazenar registros de operações financeiras, conteúdos de módulos educacionais, planejamentos estratégicos, cartas de cobranças, estoques, chamados de help desk e muito mais. Basta observar as screenshots espalhadas por esta reportagem e prestar atenção às tabelas listadas na região esquerda da tela.
Fotrax afirma ter notificado o Instituto Mix no dia 8 de março, mas foi completamente ignorado pelos executivos da companhia. “Meu objetivo não é atacá-los, mas sim mostrar publicamente o descaso que as empresas brasileiras têm com os dados de seus clientes e colaboradores, e que é por conta de empresas desse tipo que a população menos favorecida fica a mercê de estelionatários”, explica o pesquisador.
A resposta da instituição
Os impactos de tal vulnerabilidade são gravíssimos. Por um lado, temos a questão dos dados pessoais dos alunos, que poderiam ser capturados por criminosos cibernéticos com o intuito de aplicar golpes direcionados ou fraudes de falsidade ideológica. Do outro lado, temos uma série de informações críticas para o posicionamento estratégico do Instituto Mix e poderiam ser roubadas para espionagem corporativa.
A The Hack notificou o Instituto Mix no dia 1º de setembro, e, embora a empresa tenha inicialmente demonstrado resistência em colaborar com o caso, consertou a brecha e nos retornou com seu posicionamento oficial no último dia 20. Confira a nota na íntegra:
O Instituto Mix informa que detectou as vulnerabilidades que permitam acesso não autorizado aos arquivos da companhia e que, tão logo identificado o problema, tomou todas as medidas necessárias para garantir a segurança das informações.
Vale destacar que a empresa já identificou a origem do ocorrido e a equipe de Segurança da Informação está conduzindo uma investigação detalhada, a qual indica que não houve nenhum tipo de invasão aos data centers da empresa, das redes de acesso do Instituto Mix ou de nossas franquias.
Com o intuito de reforçar a segurança nos pontos críticos de nossa infraestrutura, realizamos a contratação de uma empresa especializada em consultoria e auditoria de segurança da informação e estaremos aplicando todas as medidas possíveis para que não ocorra nenhum outro incidente do tipo.
Estes tipos de incidentes ocorrem com empresas internacionais e isto não seria diferente com empresas nacionais, mas garantimos que tomamos as medidas necessárias para evitar que hajam falhas em nossa infraestrutura de tecnologia.
Infelizmente, não há como garantir que agentes maliciosos não tenham se aproveitado da falha para roubar tais dados antes de nosso conhecimento. Recomendamos cautela por parte de alunos, ex-alunos, parceiros, franqueados e funcionários do Instituto Mix, aplicando atenção redobrada para eventuais golpes de phishing envolvendo o nome da companhia.
- Leia mais notícias sobre Vazamentos.