Segurança de sites do Inep é "temerária", dizem especialistas

Especialistas em segurança digital afirmam que o sistema de troca de senha do Enem (Exame Nacional do Ensino Médio), utilizada também para o acesso ao Sisu (Sistema de Seleção Unificada), não pode ser considerado seguro.

A avaliação é de Roberto Gallo, diretor executivo da Kryptus SA, e de Emílio Simoni, gerente de segurança da PSafe.

Com a divulgação do resultado da primeira chamada do Sisu, candidatos relataram que tiveram suas contas invadidas e suas opções de cursos trocadas --entre eles está Tereza Gayoso, 23, aluna nota mil na redação do Enem 2016 que buscava uma vaga em medicina e foi inscrita em um curso de tecnólogo em produção de cachaça.

Atualmente, para realizar a troca da senha que dá acesso ao Sisu é preciso informar apenas CPF, data de nascimento, nome da mãe e município de residência do candidato.

A segurança do site é temerária. Na verdade, todas as informações pedidas ali são públicas. Isso é muito grave, porque qualquer um pode mudar a senha da conta com dados públicosRoberto Gallo

“Em um mundo cada vez mais conectado, qualquer pessoa mal-intencionada pode encontrar facilmente as informações pessoais do usuário como CPF, data de aniversário e nome dos pais no ambiente online (redes sociais e sites de busca, por exemplo) e, a partir disso, acessar a conta”, ressalta Simoni.

Outro problema “grave”, segundo Gallo, é o fato de nenhum dos sites do Inep (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira) utilizarem https, protocolo de comunicação que permite a transferência segura de dados entre diferentes redes.

“Como nada está em https, tudo passa em claro. Ou seja, toda vez que alguém digita sua senha a partir de um hotspot [rede Wi-Fi] público, qualquer um consegue ver”, explica Gallo, que ressalta: “todas essas informações estão passando de forma que qualquer um pode, com pouco esforço, capturar”.

Ele ainda afirma que a limitação do tamanho da senha, que pode ter de 6 a 10 dígitos, é um problema “grande”. “Isso restringe muito a senha que o usuário pode digitar. Uma senha de 10 dígitos é curta hoje em dia”, explica. Gallo ainda lembra que a página permite apenas senhas com números e letras, sem caracteres especiais, o que facilitaria a existência de combinações frágeis.

Medidas de segurança

Para Simoni, o ideal seria que a redefinição da senha acontecesse com o envio de um código temporário para uma conta de e-mail cadastrada pelo candidato.

“Dessa maneira, para ter acesso à plataforma o usuário teria que acessar seu e-mail pessoal para, a partir disso, poder alterar a senha, o que já atuaria como um reforço na segurança”, explica.
?
Gallo concorda e ressalta que caracteres especiais e senhas mais longas, com número mínimo de 8 caracteres, devem ser permitidas. “É preciso que o Inep passe a usar https em todas as conexões que envolvam troca de dados. Qualquer dado que uma pessoa possa classificar como privado tem que ser protegido”, acrescenta.

Em nota, o MEC (Ministério da Educação) afirmou apenas que "não foi detectada nenhuma ocorrência de segurança no ambiente do MEC ou no do Inep que tenha provocado um acesso indevido a informações de estudantes cadastrados. Além disso, até o momento, também não houve reclamação por incidente de segurança".

Ainda segundo a pasta, "todas as ações realizadas no sistema são registradas em "log", de forma a possibilitar uma auditoria completa".