CEVIU Logo
Voltar

Uso de cookies para invadir o sistema de admissão de uma faculdade de tecnologia

Aprofundamento CEVIU

Aprofundamento

A falha no SparK da SKCET não foi um erro isolado de programação, mas uma falha estrutural de design de autenticação: APIs expostas sem qualquer mecanismo de validação, nem tokens, nem sessões assinadas, nem verificação de origem, transformaram cookies em chaves mestras. Ao forçar dois valores simples (um booleano e um GUID extraído de uma resposta legítima), os pesquisadores contornaram todo o fluxo de login com e-mail + OTP. O que torna o caso crítico é a natureza dos dados acessados: além de notas e renda, havia números e cartões Aadhaar, documento nacional indiano equivalente ao CPF, mas com uso massivo em serviços públicos e privados. Isso amplifica o risco de fraude bancária, abertura indevida de contas e roubo de identidade em escala.

O incidente ocorreu sob o regime da DPDPA-2023, primeira lei federal de proteção de dados da Índia, que exige notificação imediata ao Conselho de Proteção de Dados e aos afetados. A demora entre a descoberta (agosto/2025) e a divulgação pública (março/2026) sugere que a faculdade priorizou a correção técnica sobre a transparência, prática comum, mas arriscada: a DPDPA prevê multas de até ₹250 crore (cerca de R$ 14 bilhões) por violação grave. E isso num setor já sob fogo: só em 2025, 2026, universidades dos EUA, plataformas como Canvas e sistemas hospitalares indianos sofreram vazamentos com padrão semelhante, APIs mal protegidas, credenciais roubadas via phishing e dependência excessiva de SSO frágeis.

Por que isso importa

Faculdades brasileiras usam sistemas semelhantes ao SparK, como o SIGAA, o SUAP ou plataformas privadas de admissão, muitos com integrações diretas a bases do INEP, Receita Federal e SUS. Se um cookie pode substituir um login com OTP na Índia, o mesmo vale para um token JWT mal validado ou um header 'X-User-ID' injetável no Brasil. Não há firewall que impeça isso: a falha está no código, não na rede. E o dado mais perigoso aqui não é o número do CPF, mas o conjunto, religião, renda, histórico médico e desempenho acadêmico, que permite perfis comportamentais detalhados para ataques de engenharia social ou discriminação algorítmica futura.

Perguntas frequentes

Como um atacante consegue usar cookies para invadir um sistema?

Não é sobre roubar cookies de outra pessoa. Aqui, os pesquisadores criaram dois cookies manualmente: um para simular que estavam logados como funcionário ('ADMISSION_OFFICER_LOGGED_IN=true') e outro com um ID válido extraído de uma resposta legítima do sistema. Como as APIs não verificavam se esses cookies eram reais ou apenas valores inventados, o acesso foi concedido.

Por que dados religiosos e étnicos são especialmente perigosos em vazamentos?

Essas informações são classificadas como 'dados sensíveis' pela LGPD e pela DPDPA. Elas ampliam o potencial de dano: desde discriminação em processos seletivos até chantagem, radicalização direcionada ou manipulação política. No Brasil, seu tratamento exige impact assessment específico e consentimento explícito, o que não ocorreu aqui.

O que instituições de ensino no Brasil devem verificar agora?

Qualquer API que receba requisições sem token OAuth2, JWT assinado ou chave de API válida está em risco. Priorize auditorias em endpoints de admissão, matrícula e saúde estudantil. Teste se é possível acessar dados de terceiros alterando IDs em URLs ou headers, esse é o primeiro sinal de que a autenticação está sendo ignorada no backend.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
10 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser