Troll rouba senha de 'aluna nota 1.000' e a inscreve em Produção de Cachaça

3 min de leitura
Imagem de: Troll rouba senha de 'aluna nota 1.000' e a inscreve em Produção de Cachaça
Avatar do autor

O portal do INEP, que gerencia as inscrições de alunos no ENEM e no SISU, teve uma falha de segurança explorada por trolls, e a aluna Tereza Gayoso, que tirou a nota máxima na redação da prova (1.000) teve sua conta invadida. Os trolls ainda trocaram a opção de curso de Gayoso de Medicina para “Produção de Cachaça”, um curso disponível no Instituto Federal do Norte de Minas Gerais, na cidade de Salinas (MG).

O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro

Segundo o site da Época, a aluna teria descoberto a invasão nesta terça-feira (31). “Eu não consigo acreditar que fizeram essa ruindade comigo”, declarou à revista. O ataque só foi possível porque o sistema de recuperação de senha do portal do INEP é inseguro e permite que uma pessoa redefina sua senha apenas informando alguns dados.

Praticamente todos esses dados podem ser encontrados na web, usando ferramentas de busca de consumidores, e estão disponíveis também na cédula de identidade do cidadão. Só é necessário informar o CPF, o nome completo do aluno e de sua mãe. Completando o cadastro com a cidade onde a pessoa mora, é possível redefinir a senha sem ter que confirmar nenhum link enviado por email.

O TecMundo entrou em contato com a assessoria do INEP na última segunda-feira (30) para informar sobre a falha e questionar o porquê de um sistema tão inseguro, mas não obtivemos nenhuma resposta objetiva até a publicação desta notícia.

O que o troll pode fazer com minha senha

Depois que as notas do ENEM foram publicadas, o troll que roubou a conta de um aluno teve a oportunidade de fazer uma série de mudanças no perfil da vítima, inclusive mudar sua opção de curso para o SISU ou até mesmo desinscrever o candidato de todas suas opções previamente definidas.

Isso foi o que aconteceu com Gayoso, que teve sua opção de curso alterada de Medicina para Produção de Cachaça, no interior de Minas Gerais. O prazo para alterar as inscrições no SISU já terminou, e, hoje, não é mais possível fazer qualquer alteração nos cadastros. Como Gayoso só descobriu que teve sua conta roubada agora, não consegue mais fazer nada através do sistema.

E o culpado?

O TecMundo ainda recebeu uma denúncia anônima de que um grupo no Facebook estaria supostamente promovendo esse ataque a várias contas de estudantes no portal do INEP. Segundo a denúncia, o grupo se chama “Panelinha do Bananal”, mas um dos integrantes acusados negou envolvimento ao TecMundo.

Há também rumores sobre a possibilidade de outros grupos rivais estarem envolvidos, como "Ilha da Macacada" e "55chan".  Essa primeira emitiu uma declaração oficial também negando evolvimento e condenando a ação.

[...] Isso vai totalmente contra os princípios da Ilha da Macacada e vamos lutar para que coisas como essa não sejam aceitas nem enquanto piada. Os membros da Ilha são uma família, e todos são bem-vindos para fazer parte dela. Quem entra na Ilha da Macacada sabe que nós não fazemos esse tipo de ataque, e quem entrou para comprovar de certo se identificou e gostou do grupo [...]

Foram encontrados vestígios que apontam o fórum "55chan" como o grande culpado por organizar o ataque. Outra fonte afirma que, depois de uma denúncia, eles teriam forjado capturas de tela do Facebook para culpar uma pessoa específica. Infelizmente, não conseguimos confirmar esses detalhes, uma vez que o 55chan é um fórum composto apenas por anônimos, e provavelmente só a Polícia Federal poderá determinar quem de fato organizou o ação.

Fórum onde teria ocorrido a organização do ataque.

Fórum onde supostos organizadores comemoram.

PF já trabalha no caso

Em uma nota de esclarecimento, o INEP afirma que já trabalha para identificar os culpados:

Nos dois casos citados pela imprensa, o Inep já identificou no sistema data, hora, local, operadora e IP de onde partiram as mudanças de senha. Os dados serão encaminhados para a Polícia Federal. Ressaltamos, também, que todas as ações realizadas no sistema são gravadas em log, de forma a possibilitar uma auditoria completa.

O INEP, entretanto, não admite a falha de segurança, mas comenta que fará um esforço para melhorar esse ponto para as próximas edições do ENEM.

Comentários

Conteúdo disponível somente online
Troll rouba senha de 'aluna nota 1.000' e a inscreve em Produção de Cachaça