Uso de cookies para invadir o sistema de admissão de uma faculdade de tecnologia

10 de março de 2026

Resumo

O sistema de admissão SparK da Sri Krishna College of Engineering and Technology expôs 4.110 registros de estudantes. Isso ocorreu porque suas APIs de admissão careciam de autenticação, permitindo o acesso via cookies de login definidos manualmente. Ao criar dois cookies e extrair um GUID válido de um oficial de admissão de uma resposta de busca de estudante, pesquisadores conseguiram se passar completamente por um oficial e acessar dashboards sensíveis. Os dados expostos incluíam IDs, detalhes médicos, informações religiosas e étnicas, notas, dados de renda e documentos privados de estudantes e pais, todos acessíveis com apenas um navegador. Após uma divulgação coordenada através do CERT-IN da Índia, a SKCET retirou o site vulnerável do ar em uma semana e o restaurou posteriormente com a falha corrigida.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 10 de março de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?