Uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV) deixa dados de candidatos a cursos disponíveis a qualquer um para acesso pelo navegador. Ex-alunos e funcionários também estão expostos em um banco de dados desprotegido. A falha foi descoberta por um leitor identificado como Belgra.
Belgra conseguiu acessar um banco de dados e um sistema online da FGV. Por lá, foi possível ver informações pessoais de candidatos a cursos: ele compartilhou, como exemplo, links para dados de teste, que provavelmente foram cadastrados durante o desenvolvimento do sistema e são fictícios.
Sistema online expõe dados como documentos e endereço
Entre as informações que ficam expostas no sistema online, estão documentos como RG (com data de expedição e órgão expedidor) e CPF, data de nascimento, cidade e país onde nasceu, e estado civil. Há ainda outros campos, como título de eleitor, alistamento militar e certificado de dispensa ou de reservista, mas, em grande parte dos casos, eles estão vazios.
A falha não para por aí. Mudando outro parâmetro da URL, é possível acessar mais informações dos candidatos em diferentes páginas: endereço completo, e-mail, telefone, contatos de emergência, dados do pai e da mãe, cadastro de responsável financeiro (presumivelmente para menores de idade), dados profissionais e documentos.
Belgra diz que a brecha existe desde pelo menos 2020 e continua sem correção até a data de publicação deste texto. Ele comenta que a plataforma era ruim e parecia “amadora”, com “dicas” de que o sistema tinha falhas. “Com isso, um atacante pode ter visão total do banco de dados.” Segundo o denunciante, há outras URLs com falhas que poderiam ser usadas para acessar qualquer coisa no banco de dados, mas isso só seria possível usando scripts.
Banco de dados da FGV está exposto
Belgra também foi capaz de acessar um banco de dados com várias tabelas — na relação compartilhada com o Tecnoblog, há mais de 6 mil delas. Pelos nomes, podemos inferir que são de informações bastante variadas, como vencimento de boletos, calendários escolares e títulos da livraria. Além disso, há muitas tabelas vazias.
Três dessas tabelas — as de candidatos, ex-alunos e funcionários — totalizam mais de 800 mil registros do sistema. Nem todas as entradas estão completas, e algumas são de teste.
A FGV tem, segundo dados de um relatório de 2020, cerca de 5 mil alunos de graduação, 2 mil de mestrado e 400 de doutorado, além de mais de 99 mil em educação continuada.
“A falha expõe para toda a internet os dados do banco, contendo cerca de 800 mil cadastros de pessoas com dados de todo tipo: RG, CPF, nome de pai e mãe, endereço, assim como fotos desses documentos e documentos assinados”, explica Belgra.
O que diz a FGV
O Tecnoblog informou a descoberta da falha à FGV antes da publicação dessa reportagem.
Em seu site, a FGV dá destaque a uma área de proteção de dados, em que diz que cumpre a Lei Geral de Proteção de Dados (LGPD) e que “está comprometida em proteger e resguardar os direitos dos titulares de dados, assim como em ser um agente propagador da importância dos direitos relativos à privacidade e à proteção de dados pessoais”.
A página ainda traz contatos para dúvidas e reclamações sobre essa questão e link para um portal dos direitos dos titulares de dados pessoais.
Com informações de Tecnoblog.