Me chamo Marcelo Silva, esse é meu primeiro post aqui…
Antes de tudo, quero dizer que eu identifiquei essa falha e reportei para a Faculdade Estácio no dia 10/06/2020, desde então ninguém entrou em contato comigo e também não fizeram a correção, já fazem mais de 3 meses e então decidir postar para que eles resolvam o mais rápido possível.
Certo dia eu estava procurando conteúdo de uma matéria na faculdade, foi então que resolvi usar o Google search. Assim como todo bom Brasileiro, pesquisei por “Fundamentos de Redes Simulado Estácio”, e então me deparei com vários links de pdfs do site passeidireto.com.br, mas como o site do passei direto exige que você tenha uma conta premium para visualizar o conteúdo, eles deixam você acessar algumas vezes antes de começar a exibir o paywall. No momento, eu não queria ter que pagar para visualizar esses arquivos, então foi aí que comecei a analisar os resultados que o google me trazia, a maioria das páginas indexadas mostra parte do conteúdo desses arquivos, como eu havia digitado a palavra chave “Estácio”, sempre aparecia a url que fica no rodapé do arquivo, a url é exatamente de onde o arquivo foi extraído.
Nessa hora eu tive a brilhante idéia de acessar essas urls para tentar obter o arquivo sem ter que criar e pagar um conta do passei direto, por incrível que pareça esse link me levou diretamente para a plataforma EAD da Estácio, e só piorou, entrei na plataforma autenticado com a matrícula do aluno que compartilhou o arquivo postado no passei direto, eu não precisei nem digitar login e senha. A página em questão é a plataforma online onde os alunos fazem as provas e simulados, nessa página eu tinha acesso a toda a “vida estudantil” do aluno, como se não bastasse já ter acesso a todas essas informações o sistema permitia dar início as provas e os exercícios disponíveis.
Detalhes
A falha basicamente acontece pois ao entrar no link, o sistema automaticamente faz login com a sessão do usuário na qual o id foi passado por parâmetro através da url.
A falha funcionava para qualquer aluno cadastrado na instituição, só precisava saber o número da matrícula, ou usar o Google para encontrar links aleatórios pela internet.
Gravidade
Pessoas má intencionadas poderiam explorar essa falha simplesmente para sacanear as outras, por exemplo: Iniciando uma Prova AV, que só pode ser aberta uma única vez e fazer a prova se passando pelo aluno, errando todas as questões de propósito e tirando zero.... Já pensou?
O Marco Civil da internet (Lei 12.965/14) coloca a privacidade e a proteção dos dados pessoais como um dos princípios norteadores no uso da internet no Brasil (art. 3º, incisos II e III). Também vale lembrar da nova Lei Geral de Proteção de Dados que já está em vigor desde 18/09/2020.
O Sistema
O sistema utilizado pela Estácio se chama EPS, não consegui encontrar nenhuma informação da empresa que desenvolveu o sistema.
Video de demonstração:
Top comments (0)