Atualização – 13 de fevereiro de 2020 às 15h51: Após a publicação da reportagem, a Anhembi Morumbi corrigiu a falha. Mais detalhes abaixo.

O portal que gera boletos das mensalidades da universidade Anhembi Morumbi possui uma falha grotesca que permite acessar dados pessoais de todos os alunos, incluindo nome completo, CPF, data de nascimento, endereço, curso e taxa mensal.

A brecha foi sinalizada por um leitor do Gizmodo Brasil que preferiu se manter anônimo. A reportagem conseguiu reproduzir a falha e acessar dezenas de boletos com dados pessoais de estudantes da universidade.

De acordo com a nossa fonte, estudantes da FMU – que faz parte do grupo Laureate, dono da Anhembi – também podem ser afetados com a falha. Apesar disso, só conseguimos verificar a brecha no site dedicado à Anhembi.

A vulnerabilidade é muito simples: no site de geração de boletos da Laureate é possível, com ajustes simples em um navegador, mudar o ID do estudante — esse ID, inclusive, não conta um dígito verificador, o que significa que qualquer sequência retorna o boleto de algum aluno. Em dois cliques um atacante poderia consultar o PDF – e um robô facilmente faria a coleta em massa do nome completo, CPF, data de nascimento, endereço, curso e valor da mensalidade.

Para acessar o portal é necessário CPF e a data de nascimento de alguém que já foi aluno. A nossa fonte diz que comunicou o grupo que é dono das universidades há meses, mas as brechas não foram corrigidas – ele descobriu a vulnerabilidade há três anos, quando foi pagar um boleto. Ainda segundo ele, essa não é a única falha nos sistemas da Laureate.

Imagem: Boleto de uma aluna da Anhembi Morumbi. Suprimimos as informações sensíveis.

Imagem: Outro boleto, desta vez de um aluno. Suprimimos as informações sensíveis.

O Gizmodo Brasil entrou em contato com as assessorias de imprensa da Anhembi Morumbi, FMU e Laureate questionando se o grupo conhecia o problema e solicitando um posicionamento sobre o caso. A assessoria retornou o contato, mas não respondeu a nossa solicitação até o momento da publicação da matéria. Atualizaremos o post se tivermos novidades.

Atualização – 13 de fevereiro de 2020 às 15h51: A assessoria da Anhembi Morumbi nos respondeu sobre a falha e afirma ter corrigido o erro. Tentamos reproduzir a brecha inicial e, de fato, não conseguimos acessar boletos de outros estudantes — a página recarregava e restaurava o ID alterado. Abaixo, reproduzimos a nota na íntegra:

Em relação ao apontamento do portal Gizmodo Brasil, a Instituição informa que apurou o caso e já tomou todas as medidas cabíveis para a correção.

A Universidade Anhembi Morumbi reforça que dedica investimentos e esforços redobrados na manutenção dos sistemas de segurança da informação, garantindo a confidencialidade dos dados acadêmicos, bem como de seu corpo discente, docente e administrativo.

Por que essa falha é grave?

A princípio, uma pessoa mais despreocupada com informações pessoais pode pensar que os dados que poderiam ser expostos não são tão importantes – afinal, não há dados como número de cartão de crédito ou outras informações sensíveis que poderiam causar prejuízo financeiro imediato.

O fato de o boleto revelar a taxa da mensalidade é crucial, uma vez que pode servir como direcionamento para os golpistas. Um atacante poderia descobrir o e-mail do aluno e aplicar um golpe de phishing, enviando um boleto falso com o valor idêntico ao da mensalidade, por exemplo.

Sem contar que saber que alguém pode ter à disposição o seu endereço completo pode gerar preocupações com a segurança física.

Em uma reportagem que fizemos em setembro do ano passado, Priscila Meyer, CEO da Flipside, empresa especializada em conscientização em cibersegurança, destacou que dados como esse “em mãos de criminosos pode gerar grandes prejuízos financeiros às vítimas a partir de compras de produtos e serviços, solicitações de cartões de crédito, entradas em financiamentos, por exemplo.”

O CPF, inclusive, é um dado pessoal e se enquadra em quatro das dez bases legais da LGPD, a Lei Geral de Proteção de Dados, que entra em vigor em agosto de 2020, embora um projeto de lei queira adiar em dois anos a vigência das regras.

Se tiver alguma dica de matéria para o Gizmodo Brasil, você pode entrar em contato conosco pelo e-mail dicas@gizmodo.com.br