Dados pessoais de cerca de 1,3 milhão de alunos, docentes e professores cadastrados no sistema do grupo Laureate International Universities ficaram expostos por mais de seis meses. A exposição aconteceu no sistema de infraestrutura da empresa e, especificamente, envolve a Universidade Anhembi Morumbi.
Os dados vazados incluem informações detalhadas em 1.373.351 linhas de indivíduos únicos. São elas: nome completo, RG, CPF, data de nascimento, sexo, endereço de e-mail, documentos escaneados (comprovantes de pagamento, escolaridade, passaportes etc), notas dos alunos e turmas. Outras informações presentes envolvem senhas em hash (algoritmo para "esconder" a senha) das entidades numeradas.
O TecMundo recebeu a informação via denúncia por uma fonte que assina como “r0ck37m4n”. Segundo a fonte, a Laureate foi informada há meses da vulnerabilidade em seu sistema que “possui inúmeras falhas de segurança gravíssimas que facilmente resultariam no takeover completo de todo o banco de dados principal da instituição”.
Também foram expostas senhas em hash, além de comprovantes de pagamento
A descoberta da vulnerabilidade veio após uma monitoria de um grupo privado de hackers maliciosos no mercado de vazamentos de instituições de ensino. De acordo com a fonte, em resposta ao TecMundo, os dados vazados provavelmente já estão na mão desses agentes maliciosos.
“Após analisar alguns samples e informações que foram trocadas nesse grupo, enumerei a vulnerabilidade na plataforma da Laureate - está que pode estar presente em outras universidades do grupo, possivelmente exponenciando o vazamento para estas outras instituições -, que no caso foi somente na Anhembi, devido ser a mais visada nesse determinado grupo”, afirma a fonte.
No Brasil, a Laureate gere as seguintes instituições: Business School São Paulo (BSP), CEDEPE Business School (CBS), Centro Universitário FADERGS (FADERGS), Centro Universitário FMU | FIAM-FAAM (FMU | FIAM-FAAM), Faculdade Internacional da Paraíba (FPB), Centro Universitário IBMR (IBMR), Universidade Anhembi Morumbi (UAM), Universidade Salvador (UNIFACS), Centro Universitário dos Guararapes (UniFG), Centro Universitário Ritter dos Reis (UniRitter) e Universidade Potiguar (UnP).
Em resposta ao TecMundo, a Laureate informou que corrigiu a falha:
"A Universidade Anhembi Morumbi agradece o alerta enviado pelo portal TecMundo e informa que já tratou o tema de forma imediata e com todas as providências exigidas pela lei. Aproveita também a oportunidade para destacar que a segurança da informação, juntamente à preocupação com a segurança física e o bem-estar de nossa comunidade acadêmica, também é uma das nossas prioridades e um item de total atenção e trabalho por parte de todo o nosso time. Por isso, investe recursos de forma contínua com o objetivo de garantir a privacidade e a proteção de dados pessoais dos nossos alunos, docentes e demais colaboradores".
Sample de dados vazados enviado ao TecMundo
Vazamento e implicações
Foram enviados samples e tabelas que comprovam o vazamento ao TecMundo. Em uma delas, é possível acompanhar todas as tabelas da instância de banco de dados da Anhembi Morumbi, contendo todas as tabelas que expõem informações privadas dos alunos, docentes, professores e qualquer envolvido com a instituição, bem como credenciais de acesso em diversas tabelas de configuração de sistemas, informações completas da topologia de rede, AD etc.
Phishing, spear phishing, engenharia social, abertura fraudulenta de contas etc
É possível acompanhar também, pelas imagens enviadas ao TecMundo, os dados de mais de 100 tabelas, das mais de 2000 enumeradas, que acabaram sendo totalmente exfiltradas (totalizando mais de 20GB de dados vazados, fora os documentos escaneados, oriundo de outra vulnerabilidade, mas na mesma plataforma, de acordo com a fonte).
Alunos, professores e docentes que se sentirem lesados podem entrar em contato com a Universidade para mais informações.
Infelizmente, dados como estes, expostos desta maneira, abrem diversos precedentes caso caiam nas mãos de cibercriminosos. Podemos listas golpes como phishing, spear phishing, matéria prima para engenharia social, abertura fraudulenta de contas e outros.
A dica do TecMundo para pessoas que tiveram dados pessoais expostos na internet são as seguintes:
- Ative segundo fator de autenticação em todas as contas (caso exista adição de PIN, como WhatsApp, também adicione)
- Não passe mais informações via ligações telefônicas ou mensagens, principalmente bancária. Caso esteja com dúvida, seja proativo e ligue para o banco pelo número atrás do cartão de crédito - mesmo que a pessoa atrás da linha saiba todos os seus dados, desligue o telefone e busque outro contato
- Ignore mensagens e emails suspeitos. Sempre que tiver alguma dúvida, seja proativo e busque outro meio de contato oficial
- Baixe um antivírus no seu aparelho e PC, é sempre bom contar com uma camada extra de segurança
Banco de dados Laureate
Como fazer uma denúncia ao TecMundo
O TecMundo apoia o trabalho de hackers éticos. Se você não consegue alguma resolução para falha ou vulnerabilidade por dificuldade de contato com uma empresa, entre em contato com a gente. Nossos canais de denúncia são:
Categorias