O portal do INEP, que gerencia as inscrições de alunos no ENEM e no SISU, teve uma falha de segurança explorada por trolls, e a aluna Tereza Gayoso, que tirou a nota máxima na redação da prova (1.000) teve sua conta invadida. Os trolls ainda trocaram a opção de curso de Gayoso de Medicina para “Produção de Cachaça”, um curso disponível no Instituto Federal do Norte de Minas Gerais, na cidade de Salinas (MG).
O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro
Segundo o site da Época, a aluna teria descoberto a invasão nesta terça-feira (31). “Eu não consigo acreditar que fizeram essa ruindade comigo”, declarou à revista. O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro e permite que uma pessoa redefina sua senha apenas informando alguns dados.
Praticamente todos esses dados podem ser encontrados na web, usando ferramentas de busca de consumidores, e estão disponíveis também na cédula de identidade do cidadão. Só é necessário informar o CPF, o nome completo do aluno e de sua mãe. Completando o cadastro com a cidade onde a pessoa mora, é possível redefinir a senha sem ter que confirmar nenhum link enviado por email.
O TecMundo entrou em contato com a assessoria do INEP na última segunda-feira (30) para informar sobre a falha e questionar o porquê de um sistema tão inseguro, mas não obtivemos nenhuma resposta objetiva até a publicação desta notícia.
Depois que as notas do ENEM foram publicadas, o troll que roubou a conta de um aluno teve a oportunidade de fazer uma série de mudanças no perfil da vítima, inclusive mudar sua opção de curso para o SISU ou até mesmo desinscrever o candidato de todas suas opções previamente definidas.
Isso foi o que aconteceu com Gayoso, que teve sua opção de curso alterada de Medicina para Produção de Cachaça, no interior de Minas Gerais. O prazo para alterar as inscrições no SISU já terminou, e, hoje, não é mais possível fazer qualquer alteração nos cadastros. Como Gayoso só descobriu que teve sua conta roubada agora, não consegue mais fazer nada através do sistema.
O TecMundo ainda recebeu uma denúncia anônima de que um grupo no Facebook estava supostamente promovendo esse ataque a várias contas de estudantes no portal do INEP. Segundo nossa fonte, o grupo se chama “Panelinha do Bananal”.
Há também a possibilidade de outros grupos rivais estarem envolvidos, como "Ilha da Macaca" e "55chan". Foram encontrado inclusive vestígios que apontam o fórum "55chan" como o grande culpado por organizar o ataque. Outra fonte afirma que, depois de uma denúncia, eles teriam forjado capturas de tela do Facebook para culpar uma pessoa específica. Infelizmente, não conseguimos confirmar esses detalhes, e provavelmente só a Polícia Federal poderá determinar quem de fato organizou o ação.
Fonte: Tecmundo
O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro
Segundo o site da Época, a aluna teria descoberto a invasão nesta terça-feira (31). “Eu não consigo acreditar que fizeram essa ruindade comigo”, declarou à revista. O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro e permite que uma pessoa redefina sua senha apenas informando alguns dados.
Praticamente todos esses dados podem ser encontrados na web, usando ferramentas de busca de consumidores, e estão disponíveis também na cédula de identidade do cidadão. Só é necessário informar o CPF, o nome completo do aluno e de sua mãe. Completando o cadastro com a cidade onde a pessoa mora, é possível redefinir a senha sem ter que confirmar nenhum link enviado por email.
O TecMundo entrou em contato com a assessoria do INEP na última segunda-feira (30) para informar sobre a falha e questionar o porquê de um sistema tão inseguro, mas não obtivemos nenhuma resposta objetiva até a publicação desta notícia.
O que o troll pode fazer com minha senha
Depois que as notas do ENEM foram publicadas, o troll que roubou a conta de um aluno teve a oportunidade de fazer uma série de mudanças no perfil da vítima, inclusive mudar sua opção de curso para o SISU ou até mesmo desinscrever o candidato de todas suas opções previamente definidas.
Isso foi o que aconteceu com Gayoso, que teve sua opção de curso alterada de Medicina para Produção de Cachaça, no interior de Minas Gerais. O prazo para alterar as inscrições no SISU já terminou, e, hoje, não é mais possível fazer qualquer alteração nos cadastros. Como Gayoso só descobriu que teve sua conta roubada agora, não consegue mais fazer nada através do sistema.
E o culpado?
O TecMundo ainda recebeu uma denúncia anônima de que um grupo no Facebook estava supostamente promovendo esse ataque a várias contas de estudantes no portal do INEP. Segundo nossa fonte, o grupo se chama “Panelinha do Bananal”.
Há também a possibilidade de outros grupos rivais estarem envolvidos, como "Ilha da Macaca" e "55chan". Foram encontrado inclusive vestígios que apontam o fórum "55chan" como o grande culpado por organizar o ataque. Outra fonte afirma que, depois de uma denúncia, eles teriam forjado capturas de tela do Facebook para culpar uma pessoa específica. Infelizmente, não conseguimos confirmar esses detalhes, e provavelmente só a Polícia Federal poderá determinar quem de fato organizou o ação.
Fonte: Tecmundo