Logo TecMundo
Segurança

Sistemas da Estácio possuíam falhas que permitiam acesso indevido e até roubo de contas

Já corrigidas, falhas foram denunciadas anonimamente ao TecMundo; Estácio nega incidentes cibernéticos.

Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

schedule24/02/2026, às 15:00

updateAtualizado em 24/02/2026, às 15:07

Sistemas da Estácio possuíam falhas que permitiam acesso indevido e até roubo de contas. Corrigidos pela empresa, os problemas foram reportados de maneira anônima ao TecMundo por um pesquisador e hacker ético, no último mês de janeiro. Segundo ele, que também é ex-aluno, o interesse em investigar a instituição surgiu após uma tentativa de golpe com dados específicos de sua matrícula.

Graves, as falhas encontradas poderiam ter exposto alunos da Estácio a vazamento de dados sensíveis e golpes direcionados de extorsão. Respondendo ao TecMundo, a Estácio negou qualquer incidente cibernético e afirmou que segue as boas práticas de segurança, conforme a Lei Geral de Proteção de Dados (LGPD). O comunicado pode ser lido na íntegra no texto a seguir.

smart_display

Nossos vídeos em destaque

O caso começou quando o pesquisador – que chamaremos de José – passou a receber tentativas fraudulentas de contato em nome da Estácio. Ele afirma que recebeu mensagens de texto, ligações e alguns e-mails, que continham seu CPF, matrícula do curso e até o valor exato de uma dívida na instituição.

Embora admita que não é possível associar os incidentes a um possível vazamento, José afirmou que a mera suspeita foi suficiente para começar as investigações – também motivadas por relatos similares de outros alunos. Sob sigilo de fonte, o pesquisador compartilhou os relatórios enviados a Estácio para apuração interna do TecMundo.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão
email-suspeito-tecmundo-adriano-camacho.jpg
E-mail com características suspeitas, segundo José. (Fonte: Adriano Camacho, TecMundo)

Autoproclamada a maior instituição de ensino no país, segundo suas redes sociais, a Estácio possui mais de um milhão de alunos, distribuídos entre unidades físicas e polos de ensino à distância. Parte do grupo YDUQS, a empresa acumula um valor de mercado que ultrapassa R$ 3,06 bilhões. 

Quais eram as falhas nos sistemas da Estácio?

Conforme detalha o relatório inicial de José, haviam dois problemas nos sistemas da Estácio. O primeiro deles estava em um ambiente do “Portal Recupera Estácio” que permitia a qualquer usuário consultar CPFs alheios. Segundo o pesquisador, a depender do fluxo programado, a brecha permitiria que invasores acessassem dados sensíveis de alunos e funcionários, além de funções financeiras.

No documento oficial, José reitera que não explorou a brecha e nem coletou dados, já que isso exigiria permissão autorizada da Estácio – do contrário, apesar das boas intenções, seria um acesso indevido. Essa vulnerabilidade é tecnicamente chamada de Referência Direta Insegura a Objetos (IDOR) e ocorre quando um usuário consegue fazer solicitações sensíveis sem passar por qualquer validação do sistema. Anteriormente, o TecMundo Security reportou um caso similar sobre o aplicativo de namoro Sapphos.

id-exposta-estacio-tecmundo-adriano-camacho.jpg
Token e ID expostos no portal Recupera Estácio. (Fonte: Adriano Camacho, TecMundo)

Pouco após a primeira denúncia, José identificou outra falha ainda mais grave. Investigando o Portal Recupera Estácio, o pesquisador confirmou uma anomalia em um subdomínio exposto no Google. O link em questão possuía uma chave de autenticação (Token) exposta e, quando acessado, permitia acesso aos sistemas sem necessidade de senha.

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros
token-de-acesso-exposto-estacio-tecmundo-adriano-camacho.jpg
Link do portal Recupera Estácio com Token de Acesso exposto, anteriormente disponível no Google. (Fonte: Adriano Camacho, TecMundo)

A segunda vulnerabilidade permite a chamada “Account Takeover” (“Sequestro de Contas”). Alterando algumas linhas, um atacante poderia acessar contas sem nem mesmo a vítima perceber.

Como as falhas na Estácio foram encontradas?

Apesar da gravidade das falhas, José afirma que não precisou de técnicas avançadas ou sequer invasivas para identificá-las. Segundo seu relato, todo o estudo envolveu técnicas passivas de pesquisa, como enumeração de domínios e Google Dorking. Em termos simples, a abordagem envolve simplesmente uma listagem de quais “links” estão ligados ao Portal Recupera Estácio e pesquisas direcionadas no buscar do Google.

As técnicas em questão são apenas a primeira etapa, mais básica, no reconhecimento de uma potencial vulnerabilidade. Uma vez identificada, a brecha encontrada poderia ser explorada por criminosos em diversas outras abordagens invasivas – resultando, por exemplo, no vazamento ativo de dados. Conforme mencionado anteriormente, José optou por não testar toda extensão da falha, apenas afirmando seu risco teórico.

dados-expostos-em-consulta-estacio-tecmundo-adriano-camacho.jpg
Exemplo censurado de consulta indevida, feita apenas alterando trechos de uma solicitação ao portal Recupera Estácio. (Fonte: Adriano Camacho, TecMundo)

Caso tivesse feito, José teria violado os limites do hacking ético e acabaria esbarrando em uma abordagem de “chapéu cinza” – ou seja, que prejudica os interesses da parte “avaliada”. Assim, mesmo sendo bem-intencionado, ele ainda poderia sofrer consequências legais, justamente por ter testado recursos sensíveis de segurança sem autorização para isso.

Leia Mais
IPTV falso infecta vítimas e esvazia contas bancárias

Quais riscos as falhas da Estácio ofereceram aos alunos?

Em um cenário em que ambas as falhas tivessem sido exploradas por um agente malicioso, o risco para alunos da Estácio seria considerado alto e até crítico. Ao acessar as informações individuais de cada conta, um cibercriminoso poderia obter dados pessoais sensíveis, incluindo documentos e históricos, além de informações financeiras e endereços.

A partir dessas informações, cibercriminosos podem montar extensos bancos de dados, devidamente organizados e prontos para a aplicação de golpes. Esses conjuntos também podem ser incorporados a outras informações já existentes sobre as vítimas, algo chamado de cruzamento de dados, para compor perfis mais completos e valiosos para venda.

No fim do processo, o golpista tem o contexto ideal para operar: um perfil completo da vítima, seu histórico de dívidas com uma instituição, seu endereço e dados de contato. Com isso, a taxa de sucesso em crimes de extorsão ou fraude sobe consideravelmente, e pode ser replicada em uma escala maior.

Um exemplo prático sobre esse tipo de crime é o “spear-phishing”, ou “pescaria direcionada”, traduzido livremente para o português. Diferente do phishing padrão, em que criminosos tentam “fisgar” vítimas com e-mails ou mensagens genéricas, essa metodologia é personalizada com informações reais do alvo. Dados como nome completo, endereço, dívidas ativas ou valores de parcela, são utilizados para diminuir as suspeitas e a avaliação crítica sobre a abordagem.

Leia Mais
ZeroDayRAT: spyware vendido no Telegram transforma qualquer um em espião

Estácio afirma que falhas já foram corrigidas

Após enviar sua denúncia, José questionou a Estácio se as falhas foram devidamente corrigidas e se haveria comunicação oficial à Agência Nacional de Proteção de Dados (ANPD). Sem entrar em detalhes, a instituição confirmou as correções e afirmou que qualquer divulgação referente ao caso é de sua competência exclusiva, encerrando o diálogo.

Ao TecMundo, José comenta: “De forma técnica e honesta, não posso afirmar que o risco foi eliminado por completo, pois não tive autorização para realizar validação independente das correções aplicadas.” Sobre a possibilidade de riscos, ele acrescenta: “não é possível descartar, com base apenas na resposta da instituição, a existência de impactos residuais, superfícies correlatas ou eventual exploração anterior.”

Posicionamento oficial da Estácio

Por esse motivo, o TecMundo também entrou em contato com a Estácio, com objetivo de entender melhor o que causou a falha e como foi o processo de correção. Leia o comunicado na íntegra:

“Reforçamos que operamos de acordo com as melhores práticas de segurança da informação, em conformidade com a LGPD, adotando medidas técnicas e administrativas para garantir a proteção das informações sob nossa responsabilidade. Mantemos monitoramento contínuo de nossos sistemas, com atualizações permanentes e tratamento imediato de eventuais pontos de melhoria. Não há evidência de comprometimento ou vazamento de dados em nossa plataforma.”

Leia Mais
Quem é o autor de um texto encomendado por um humano a uma IA?

Como se proteger de golpes e vazamentos de dados

Em situações como essa, mesmo quando não há vazamento de dados, ainda é possível adotar boas práticas de segurança digital. A seguir, o TecMundo lista algumas dicas para se manter seguro na internet:

  • Ative autenticação em dois fatores (2FA): mesmo que uma senha vaze ou seja descoberta, a segunda camada de verificação reduz o risco de invasão e sequestro de contas;
  • Desconfie de mensagens de contatos desconhecidos, mesmo com dados reais: golpistas podem usar informações verdadeiras (CPF, matrícula, dívidas) para parecer legítimos. Confirme solicitações diretamente pelos canais oficiais da instituição antes de agir;
  • Use senhas únicas e fortes para cada serviço: evite repetir credenciais entre plataformas educacionais, bancos e e-mail. Um gerenciador de senhas pode ajudar a manter combinações seguras sem precisar memorizá-las;
  • Monitore regularmente suas contas e dados financeiros: verifique extratos, históricos de acesso e notificações suspeitas. Qualquer alteração inesperada deve ser reportada imediatamente à instituição responsável.
  • Proteja seus dados em comunicações digitais: não compartilhe documentos, códigos de verificação ou informações sensíveis por telefone, SMS ou e-mail sem ter certeza da identidade do solicitante, especialmente em situações de cobrança ou urgência.

O TecMundo apoia o trabalho de hackers éticos e aceita denúncias nos e-mails: contato@adrianocamacho.com / denuncia@tecmundo.com.br.

Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

Especialista em Cibersegurança, Produtos, Hardware e Jogos

Adriano Camacho é Editor de Conteúdo no TecMundo e no Voxel, com cinco anos de experiência na área. Pós-graduado em Jornalismo Digital pela FAAP, é especializado na cobertura de assuntos ligados à tecnologia e à cultura gamer contemporânea.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 53 minutos
Kindle Colorsoft Signature Edition
15% off

Aproveite já!

Kindle Colorsoft Signature Edition

R$ 1.399,00

Tablets amazon.com.brnew_releases
Kindle Paperwhite Signature Edition
20% off

Oferta especial!

Kindle Paperwhite Signature Edition

R$ 959,00

Tablets amazon.com.brnew_releases
Cafeteira Dolce Gusto Mini Me
36% off

Cupom MAQUINA5

Cafeteira Dolce Gusto Mini Me

R$ 370,04

Eletro amazon.com.brnew_releases
Headset Gamer Havit Fuxi H7SE
25% off

até 30h de bateria

Headset Gamer Havit Fuxi H7SE

R$ 246,05

Áudio amazon.com.brnew_releases
Smartphone Motorola Moto G86 5G, 512GB
41% off

Oferta!

Smartphone Motorola Moto G86 5G, 512GB

R$ 1.772,10

Celulares mercadolivre.com.brnew_releases
Barbeador Elétrico Philips Shaver Série 2000 6D
13% off

Aproveite!

Barbeador Elétrico Philips Shaver Série 2000 6D

R$ 219,90

Eletro amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA