De acordo com diversos alertas enviados por diferentes pesquisadores à The Hack durante este último fim de semana, uma vulnerabilidade gravíssima presente no Sistema Nacional de Informações da Educação Profissional e Tecnológica (SisTec) do Ministério da Educação (MEC) expôs dados pessoais de um número incalculável de cidadãos brasileiros. O problema estava em uma URL específica: bastava utilizá-la em conjunto com o CPF da vítima para que a plataforma retornasse uma tabela completa com suas informações.
A brecha encontrava-se em um subdomínio do sistec.mec.gov.br e, quando provida de um CPF válido, retornava as seguintes informações: nome completo, nome da mãe, data de nascimento, gênero, número do título de eleitor, RG (número, data de emissão e órgão emissor), endereço completo com CEP e outros dados relacionados à atividade profissional do indivíduo. Caso o civil pesquisado fosse estrangeiro ou estivesse morando em outro país, o sistema também informava tal detalhe.
A The Hack não teve tempo hábil de testar e confirmar tal vulnerabilidade — ao experimentarmos o procedimento, na noite deste domingo (31), o problema já havia sido resolvido. Porém, diversas capturas de tela enviadas à redação mostram o bug sendo usado até mesmo para extrair informações do presidente Jair Bolsonaro e do ex-presidente Luiz Inácio Lula da Silva.
Ademais, mais preocupante ainda, em uma conversa em determinado grupo no Telegram, um internauta afirma que ferramentas automatizadas já estariam sendo criadas para extrair o máximo possível do banco de dados.
A The Hack entrou em contato com o MEC para saber se o órgão possui um posicionamento oficial a respeito do incidente. Atualizaremos esta reportagem assim que obtermos um retorno.
- Leia mais notícias sobre Vazamentos.