O portal do INEP, que gerencia as inscrições de alunos no ENEM e no SISU, teve uma falha de segurança explorada por trolls, e a aluna Tereza Gayoso, que tirou a nota máxima na redação da prova (1.000) teve sua conta invadida. Os trolls ainda trocaram a opção de curso de Gayoso de Medicina para “Produção de Cachaça”, um curso disponível no Instituto Federal do Norte de Minas Gerais, na cidade de Salinas (MG).
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro
Segundo o site da Época, a aluna teria descoberto a invasão nesta terça-feira (31). “Eu não consigo acreditar que fizeram essa ruindade comigo”, declarou à revista. O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro e permite que uma pessoa redefina sua senha apenas informando alguns dados.
Praticamente todos esses dados podem ser encontrados na web, usando ferramentas de busca de consumidores, e estão disponíveis também na cédula de identidade do cidadão. Só é necessário informar o CPF, o nome completo do aluno e de sua mãe. Completando o cadastro com a cidade onde a pessoa mora, é possível redefinir a senha sem ter que confirmar nenhum link enviado por email.
O TecMundo entrou em contato com a assessoria do INEP na última segunda-feira (30) para informar sobre a falha e questionar o porquê de um sistema tão inseguro, mas não obtivemos nenhuma resposta objetiva até a publicação desta notícia.
O que o troll pode fazer com minha senha
Depois que as notas do ENEM foram publicadas, o troll que roubou a conta de um aluno teve a oportunidade de fazer uma série de mudanças no perfil da vítima, inclusive mudar sua opção de curso para o SISU ou até mesmo desinscrever o candidato de todas suas opções previamente definidas.
Isso foi o que aconteceu com Gayoso, que teve sua opção de curso alterada de Medicina para Produção de Cachaça, no interior de Minas Gerais. O prazo para alterar as inscrições no SISU já terminou, e, hoje, não é mais possível fazer qualquer alteração nos cadastros. Como Gayoso só descobriu que teve sua conta roubada agora, não consegue mais fazer nada através do sistema.
E o culpado?
O TecMundo ainda recebeu uma denúncia anônima de que um grupo no Facebook estaria supostamente promovendo esse ataque a várias contas de estudantes no portal do INEP. Segundo a denúncia, o grupo se chama “Panelinha do Bananal”, mas um dos integrantes acusados negou envolvimento ao TecMundo.
Há também rumores sobre a possibilidade de outros grupos rivais estarem envolvidos, como "Ilha da Macacada" e "55chan". Essa primeira emitiu uma declaração oficial também negando evolvimento e condenando a ação.
[...] Isso vai totalmente contra os princípios da Ilha da Macacada e vamos lutar para que coisas como essa não sejam aceitas nem enquanto piada. Os membros da Ilha são uma família, e todos são bem-vindos para fazer parte dela. Quem entra na Ilha da Macacada sabe que nós não fazemos esse tipo de ataque, e quem entrou para comprovar de certo se identificou e gostou do grupo [...]
Foram encontrados vestígios que apontam o fórum "55chan" como o grande culpado por organizar o ataque. Outra fonte afirma que, depois de uma denúncia, eles teriam forjado capturas de tela do Facebook para culpar uma pessoa específica. Infelizmente, não conseguimos confirmar esses detalhes, uma vez que o 55chan é um fórum composto apenas por anônimos, e provavelmente só a Polícia Federal poderá determinar quem de fato organizou o ação.
Fórum onde teria ocorrido a organização do ataque.
Fórum onde supostos organizadores comemoram.
PF já trabalha no caso
Em uma nota de esclarecimento, o INEP afirma que já trabalha para identificar os culpados:
Nos dois casos citados pela imprensa, o Inep já identificou no sistema data, hora, local, operadora e IP de onde partiram as mudanças de senha. Os dados serão encaminhados para a Polícia Federal. Ressaltamos, também, que todas as ações realizadas no sistema são gravadas em log, de forma a possibilitar uma auditoria completa.
O INEP, entretanto, não admite a falha de segurança, mas comenta que fará um esforço para melhorar esse ponto para as próximas edições do ENEM.
Categorias