Dados pessoais de estudantes acessíveis online

Do site do Público. O destaque é meu. O problema parece ter sido uma típica vulnerabilidade de referência directa a um objecto (v. OWASP top 10).


Dados pessoais de 220 mil estudantes estiveram acessíveis no site da DGES

18.05.2012 - 12:27 Por Samuel Silva

Dados dos candidatos a bolsas e das suas famílias estiveram disponíveis Dados dos candidatos a bolsas e das suas famílias estiveram disponíveis (Foto: Enric Vives-Rubio)

Os dados pessoais de 220 mil estudantes bolseiros do ensino superior estiveram acessíveis durante várias semanas no site da Direcção-Geral do Ensino Superior (DGES).


A situação foi corrigida quinta-feira pela empresa responsável pelo desenvolvimento da plataforma, mas vai ser investigada pela Comissão Nacional de Protecção de Dados (CNPD).

Os nomes completos e os números dos bilhetes de identidade e de identificação fiscal dos mais de 220 mil alunos candidatos a bolsas de estudo podiam ser consultados sem grandes dificuldades numa área específica do site da DGES. O sistema permitia também aceder aos mesmos dados pessoais dos pais e restantes elementos do agregado familiar destes estudantes do ensino superior.

O problema prendia-se com o acesso à área reservada do site a bolseiros, que era feita através de um endereço inseguro, que podia ser manipulado. O link à vista no browser (programa de navegação na Internet) de qualquer computador mostrava os parâmetros de acesso "ID" preenchidos com vários X. Substituindo os X pelos números de contribuinte ou de BI dos estudantes era possível aceder a essa zona do site. Uma vez ultrapassada a barreira, os dados pessoais estavam inteiramente disponíveis.
Uma denúncia anónima fez com que o portal pplware.com, associado à rede Sapo Tek, tivesse detectado o problema, dando origem a uma publicação naquele site feita anteontem. A forma como a notícia se começou a espalhar levou também o Ministério da Educação e Ciência (MEC) e a DGES a olhar para o caso e, a meio do dia de ontem, já havia uma solução, ainda que temporária.

O endereço de acesso à zona "reservada" a candidatos foi desactivado, o que impede agora o acesso à área onde os dados pessoais estavam acessíveis. A solução não corrige, todavia, o problema em definitivo. Numa nota escrita enviada ao PÚBLICO, o MEC garante que "têm vindo e estão a ser desenvolvidos os procedimentos normais nestas circunstâncias, designadamente em matéria de auditoria informática".

"O endereço já não se encontrava acessível através da plataforma de candidatura, onde tinha sido substituído, na sequência da adopção de um método diferente de geração de formulários", informa o gabinete de Nuno Crato. Segundo o ministério, "nunca esteve em risco a divulgação de qualquer informação acerca, designadamente, dos rendimentos e património dos candidatos e do seu agregado familiar". Além disso, a consulta da informação através do endereço em causa "não era possível por engano ou casualidade", obrigando a uma "deliberada e intencional" manipulação de dados, uma prática que é ilegal, explica o MEC.

Comissão em campo

O caso foi também detectado no início desta semana pela CNPD, dando origem a um procedimento interno que deverá motivar um processo de averiguações por parte daquele organismo. De acordo com a CNPD, nenhuma queixa relativa a esta situação deu até agora entrada nos seus serviços.

A plataforma de acesso a bolsas de estudo foi desenvolvida pela empresa Brightpartners, com quem a DGES tem quatro contratos registados no portal da contratação pública. Desde 2010, a firma recebeu mais de 400 mil euros relativos a quatro serviços de "manutenção e assistência técnica de software informático de suporte" ao concurso de atribuição de bolsas de estudo. Os contratos são renovados anualmente e o último foi lançado no portal em Fevereiro deste ano, com um valor de 76 mil euros.

(...)