Dados de quase 1,5 milhão de alunos são expostos por falha na Secretaria da Educação do DF

Uma vulnerabilidade no software de gestão escolar, I-Educar, desenvolvido pela Secretaria da Educação do Distrito Federal, deixou exposto dados pessoais de quase 1,5 milhão de alunos da rede pública de ensino. A revista digital The Hack recebeu e divulgou a informação com exclusividade, a partir de uma denúncia anônima.

O I-Educar é um aplicativo desenvolvido para otimizar o processo de matrícula de alunos nas escolas da rede pública. Os alunos se inscrevem na plataforma e podem acompanhar o processo de matrícula, acessando um comprovante de matrícula.

O comprovante de matrícula é um documento que reúne os dados necessários para que um aluno se matricule nas escolas. Dados como: nome completo; data de nascimento; CPF; nome completo da mãe; número de inscrição; sexo; endereço; grau de escolaridade e se o aluno é portador de alguma deficiência.

Os alunos podem acessar seus comprovantes de matrícula pelo sistema, logando com suas credenciais e clicando no botão para gerar o arquivo. No entanto, até quinta-feira (18 de fevereiro de 2021) esse sistema contava com uma vulnerabilidade de Referência Insegura Direta a Objeto (Insecure Direct Object Reference ou IDOR), uma falha banal, que quando explorada, pode fornecer dados de outros alunos, sem autorização, apenas mudando o código de referência na URL.

Como funciona

Cada comprovante de matrícula representa um aluno e para ser identificado no sistema, este aluno recebe um código único. Quando o aluno faz uma requisição do seu comprovante de matrícula, o sistema identifica o seu código único e encaminha o aluno para uma página com o seu respectivo comprovante de matrícula.

No entanto, esse código único, estava exposto no final da URL, desta forma: “…internet.php?cod_candidato=0000004”. Ao alterar estes números após “cod_candidato=”, era possível acessar os comprovantes de matrícula de outros alunos.

A revista digital The Hack testou do 0000004 até o 1499699 (sendo os 3 primeiros, exclusivos para testes da equipe de tecnologia da secretaria) e concluiu que quase 1,5 milhão de alunos estavam com seus dados expostos pelo próprio sistema de matrículas em escolas públicas. A redação entrou em contato com a Secretaria da Educação do Distrito Federal, informando sobre a vulnerabilidade, pedindo a correção, além de um posicionamento oficial, mas obteve uma resposta genérica: “a área de Tecnologia da Informação retirou o link do ar para as devidas correções”.

Como a ANPD lida com empresas públicas?

A secretaria informa que corrigiu o problema depois da denúncia, mas não disse se vai investigar o caso (descobrir se a vulnerabilidade já foi explorada anteriormente), nem se vai avisar os alunos sobre a exposição dos dados. “A área de tecnologia retirou o link do ar para as devidas correções”, disse um porta-voz da secretaria à revista digital The Hack.

A revista digital The Hack também entrou em contato com Arthur Pereira Sabbat, diretor do conselho de diretores da Agência Nacional de Proteção de Dados (ANPD), informando sobre o vazamento. O diretor conta que a ANPD vai informar e acompanhar o caso com o Governo do Distrito Federal.

Vazamentos de dados de empresas públicas também é responsabilidade da ANPD. Segundo o artigo 23 da Lei Geral de Proteção de Dados (LGPD): as regulações quanto a coleta, tratamento, venda e vazamento de dados também devem ser aplicadas a empresas públicas, neste caso a Secretaria de Educação do DF.

É importante lembrar que, embora não seja um banco de dados de uma empresa privada gigante (como é o caso dos 220 bilhões de CPFs, supostamente roubados da Serasa Experian), os comprovantes de matrículas, vazados pela Secretaria de Educação do DF, possuem dados delicados e detalhados de quase 1,5 milhão de estudantes, sendo a maioria destes, menores de idade.

Este é o primeiro grande vazamento de dados de uma organização pública desde que a LGPD começou a valer, em setembro de 2020: um bom exemplo para identificarmos como a ANPD vai lidar com grandes vazamentos de instituições públicas.

O presidente do Instituto Goiano de Direito Digital (IGDD), Rafael Maciel, explica que os cuidados que uma empresa privada deve ter com relação à proteção dos seus dados, também devem ser considerados por organizações de direito público. E a população deve procurar indenização caso tenha seus dados vazados, tanto por empresas privadas, como organizações públicas.

“Um dos objetivos da LGPD é exatamente proteger os dados do cidadão. Ela visa regulamentar a coleta, o armazenamento e a manipulação de dados pessoais, exigindo maior transparência por parte de empresas públicas e privadas. Assim, caso haja o vazamento destes dados, o cidadão deve sim buscar reparação”, conclui, em entrevista ao Jornal Jurid.