Menu

Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários

Compartilhe

Uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV) deixa dados de candidatos a cursos disponíveis a qualquer um para acesso pelo navegador. Ex-alunos e funcionários também estão expostos em um banco de dados desprotegido. A falha foi descoberta por um leitor identificado como Belgra.

FGV (Imagem: Felipe Barros / ExLibris / Secom-PMI)
FGV (Imagem: Felipe Barros / ExLibris / Secom-PMI)

Belgra conseguiu acessar um banco de dados e um sistema online da FGV. Por lá, foi possível ver informações pessoais de candidatos a cursos: ele compartilhou, como exemplo, links para dados de teste, que provavelmente foram cadastrados durante o desenvolvimento do sistema e são fictícios.

Sistema online expõe dados como documentos e endereço

Entre as informações que ficam expostas no sistema online, estão documentos como RG (com data de expedição e órgão expedidor) e CPF, data de nascimento, cidade e país onde nasceu, e estado civil. Há ainda outros campos, como título de eleitor, alistamento militar e certificado de dispensa ou de reservista, mas, em grande parte dos casos, eles estão vazios.

Dados reais da FGV que puderam ser acessados
Dados reais da FGV que puderam ser acessados (Imagem: Reprodução/Tecnoblog)

A falha não para por aí. Mudando outro parâmetro da URL, é possível acessar mais informações dos candidatos em diferentes páginas: endereço completo, e-mail, telefone, contatos de emergência, dados do pai e da mãe, cadastro de responsável financeiro (presumivelmente para menores de idade), dados profissionais e documentos.

Outra página de dados pessoais do mesmo cadastro
Outra página de dados pessoais do cadastro (Imagem: Reprodução/Tecnoblog)

Belgra diz que a brecha existe desde pelo menos 2020 e continua sem correção até a data de publicação deste texto. Ele comenta que a plataforma era ruim e parecia “amadora”, com “dicas” de que o sistema tinha falhas. “Com isso, um atacante pode ter visão total do banco de dados.” Segundo o denunciante, há outras URLs com falhas que poderiam ser usadas para acessar qualquer coisa no banco de dados, mas isso só seria possível usando scripts.

Banco de dados da FGV está exposto

Belgra também foi capaz de acessar um banco de dados com várias tabelas — na relação compartilhada com o Tecnoblog, há mais de 6 mil delas. Pelos nomes, podemos inferir que são de informações bastante variadas, como vencimento de boletos, calendários escolares e títulos da livraria. Além disso, há muitas tabelas vazias.

Três dessas tabelas — as de candidatos, ex-alunos e funcionários — totalizam mais de 800 mil registros do sistema. Nem todas as entradas estão completas, e algumas são de teste.

A FGV tem, segundo dados de um relatório de 2020, cerca de 5 mil alunos de graduação, 2 mil de mestrado e 400 de doutorado, além de mais de 99 mil em educação continuada.

“A falha expõe para toda a internet os dados do banco, contendo cerca de 800 mil cadastros de pessoas com dados de todo tipo: RG, CPF, nome de pai e mãe, endereço, assim como fotos desses documentos e documentos assinados”, explica Belgra.

O que diz a FGV

Tecnoblog informou a descoberta da falha à FGV antes da publicação dessa reportagem.

Em seu site, a FGV dá destaque a uma área de proteção de dados, em que diz que cumpre a Lei Geral de Proteção de Dados (LGPD) e que “está comprometida em proteger e resguardar os direitos dos titulares de dados, assim como em ser um agente propagador da importância dos direitos relativos à privacidade e à proteção de dados pessoais”.

A página ainda traz contatos para dúvidas e reclamações sobre essa questão e link para um portal dos direitos dos titulares de dados pessoais.

Com informações de Tecnoblog.

Veja Também

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

plugins premium WordPress