Uma vulnerabilidade no Sistec, o Sistema Nacional de Informações da Educação Profissional e Tecnológica do Ministério da Educação (MEC), esteve expondo dados de brasileiros, bastando para isso a inserção de seu CPF, segundo um pesquisador de segurança informou ao CISO Advisor. Uma tela enviada pelo pesquisador que fez o alerta, supostamente obtida no endereço vulnerável, indicava que se podia visualizar inclusive dados do Presidente da República, Jair Bolsonaro (imagem abaixo). A vulnerabilidade foi detectada e tornada pública em grupos de segurança do no WhatsApp dos quais esse pesquisador participa .
Essa vulnerabilidade foi detectada sexta-feira dia 29 de Maio. Segundo as informações do especialista, ela se encontrava numa URL do subdomínio sistec.mec.gov.br. A simples inserção de um CPF permitia a exibição de dados de cidadãos. No sábado, a query foi higienizada e qualquer consulta não autorizada exibia um alerta (veja imagem) sem mostrar os dados de ninguém.
Veja isso
URLs apontam falhas em 67 servidores do governo
Processo acusa Zoom de ter escondido vulnerabilidades
A finalidade do Sistec é servir como mecanismo de registro e divulgação dos dados da educação profissional e tecnológica e de validação de diplomas de cursos de educação profissional técnica de nível médio, conforme informa o site do Ministério.
O pesquisador que informou o CISO Advisor acredita que a falha exista há muito tempo, podendo ter exposto dados desde que o sistema foi publicado. Segundo as informações dele, aparentemente era possível listar os dados de qualquer pessoa, mesmo que não estivesse cadastrada num sistema do MEC – como no ENEM, por exemplo. “A consulta retornava endereço, nome da mãe, título de eleitor, RG, etc. Fiquei com a impressão de que esse recurso fazia na verdade uma consulta ao site da Receita Federal. Mas é só uma impressão, um palpite”.
