Read, hack, repeat

Exclusivo: Inep vaza código-fonte do sistema do Enem

Guilherme Petry

O Instituto Nacional de Estudos e Pesquisas Educacionais (Inep) deixou todo o código-fonte do sistema do Exame Nacional do Ensino Médio (Enem) exposto em seu próprio domínio inep.gov.br. Os arquivos não estão criptografados nem protegidos por senha, o que significa que podem ser acessados por qualquer interessado. Com esses dados, cibercriminosos podem conseguir acesso não autorizado ao servidor e, com isso, vazar dados, prejudicar alunos, operar páginas de phishing idênticas e lucrar ilegalmente.

Os arquivos com o código-fonte do sistema do Enem foram encontrados pelo pesquisador independente de segurança da informação, André Aguiar. Em uma entrevista exclusiva à The Hack, o pesquisador revelou que é candidato no Enem e após notar um comportamento estranho no site resolveu investigar a página do candidato, onde encontrou os dados expostos. O pesquisador entrou em contato com o Inep imediatamente após encontrar os arquivos no site, mas não obteve resposta. A The Hack também entrou em contato com o Inep (no começo de outubro) e continua aguardando a resposta.

Página do candidato. Captura de tela: The Hack.
Página do candidato. Captura de tela: The Hack.

Aguiar conta que não sabe dizer como exatamente esses arquivos ficaram expostos, mas acredita que eles foram colocados no site pela equipe técnica do Enem, para serem compilados e esqueceram de os remover após a compilação.

“Provavelmente o desenvolvedor que foi compilar o sistema jogou todos os aquivos aqui para compilar e depois remover, isso seria o certo a se fazer. Mas, ao invés disso, alguma coisa aconteceu que todos os arquivos ficaram aqui. Só o arquivo compilado devia estar aqui, não o sistema inteiro. Essas informações não podem estar expostas dessa forma”, disse.

É importante lembrar que a exposição do código-fonte do sistema não é uma vulnerabilidade, mas com acessos a esses arquivos é possível estudar o sistema e encontrar todas as falhas e vulnerabilidades de lógica, de código e até de autenticação e segurança.

“Não é uma vulnerabilidade [exposição desnecessária de dados], mas com esses arquivos podemos encontrar vulnerabilidades críticas. Não cheguei a investigar muito, mas provavelmente há um caminho para acessar o banco de dados. O que está exposto é o código-fonte do sistema todo, não só da página do Enem. Essas informações deveriam estar só no servidor do serviço e não acessível por quem não é autorizado”.

Sede do Inep, em Brasília. Foto: Pillar Pedreira/Agência Senado (CC BY 2.0)
Sede do Inep, em Brasília. Foto: Pillar Pedreira/Agência Senado (CC BY 2.0)

A ameaça

Como explica o pesquisador, com acesso a esses arquivos, um cibercriminoso pode investigar como funciona o sistema do Enem e com isso, buscar por falhas, vulnerabilidades e brechas para invadir o sistema, prejudicar candidatos e até lucrar ilegalmente.

“Ele [o cibercriminoso] pode descobrir quais são as categorias de validação configuradas, o mapa de como tudo funciona, as APIs e até como as requisições são feitas. Com isso, dá para fazer requisições maliciosas até invadir o sistema (acessar o servidor, alterar, furtar e apagar dados), se passar pelo administrador do sistema, além de outros ataques. Tudo isso sem ser detectado e sem fazer muito alarde”, explica sobre os perigos de ter esses dados expostos.

Também é possível desenvolver ferramentas que automatizam a busca por falhas. “A ferramenta de força bruta vai testar a estrutura do código em busca de falhas, chaves, dados, vulnerabilidades… Da até pra replicar as requisições e alterar dados de participantes do Enem, desde dados pessoais até nota”.

O caminho para acessar esses dados não será revelado. No entanto, para corrigir o problema, basta apagar os arquivos da pasta, conforme foi reportado pelo pesquisador por email e manter apenas os arquivos do site compilado.

Esse é o segundo problema de segurança do Inep reportado com exclusividade pela The Hack neste ano. No começo do mês passado, revelamos que o órgão vazou dados de mais de 5 milhões de alunos participantes (brasileiros e estrangeiros) do Exame Nacional de Desempenho dos Estudantes (Enade). Para ambos os casos, a The Hack continua esperando o posicionamento.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.