CEVIU Logo
Voltar

14 falhas em portais do governo indiano expõem dados de estudantes e contas bancárias

Aprofundamento CEVIU

Aprofundamento

Um pesquisador de cibersegurança do Dubai, Rylen Anil, identificou uma série de falhas críticas em sistemas governamentais da Índia. Ele não só apontou vulnerabilidades em portais de bolsas de estudo e do serviço público, mas também expôs brechas no portal de reexame da National Testing Agency (NTA) e no DigiLocker do CBSE. As falhas incluem bypass de login superadmin, uso de credenciais fracas e configurações de nuvem expostas, resultando no acesso a dados de milhares de estudantes e administradores. A exposição de informações pessoais (PII) é um risco enorme, facilitando ataques de phishing e fraude em massa.

Entre as descobertas mais preocupantes está a exposição de um diretório público em cdata.jeeadv.ac.in/result2026/ referente ao JEE Advanced 2026, acessível sem qualquer autenticação. Este incidente, junto com a falha de criptografia no DigiLocker do CBSE, onde a chave de criptografia estava em um arquivo JavaScript público, mostra uma negligência fundamental nas práticas de segurança. As vulnerabilidades, que incluem a possibilidade de exportar dados via CSV e gerenciar funções administrativas, expõem um grande volume de dados sensíveis e tornam os sistemas suscetíveis a manipulação da integridade dos exames.

Por que isso importa

A série de vulnerabilidades em plataformas críticas do governo indiano, especialmente as ligadas à educação e serviços públicos, mostra que a segurança digital ainda não é prioridade em muitos setores. Desde o vazamento de credenciais de VPN da Fortinet, que poderia afetar grandes infraestruturas, até as exposições em sistemas de admissão de faculdades que vimos em março (Sri Krishna College), o padrão é claro: falta de autenticação robusta e configurações seguras. A exposição de dados como números Aadhaar, contas bancárias e informações parentais, como no caso do National Scholarship Portal (NSP), cria um cenário propício para fraudes financeiras e roubo de identidade em uma escala massiva. Os usuários com menor literacia digital são os mais afetados.

A superficialidade na segurança desses sistemas, exemplificada pela presença de URLs de desenvolvimento em produção e configurações de nuvem abertas, não só compromete a privacidade dos cidadãos, mas corrói a confiança nas instituições digitais do governo. A detecção de credenciais comprometidas em sistemas como os da Johnson & Johnson, expostas por falhas simples de configuração, ecoa os problemas nos portais indianos. Isso demonstra que problemas básicos de segurança continuam a ser uma ameaça global, ressaltando a importância de auditorias constantes e a implementação de políticas de segurança mais rígidas.

Linha do tempo

  1. Alegação de comprometimento do banco de dados do National Scholarship Portal (NSP) por um usuário 'SORB' no BreachForums, contendo dados como Aadhaar e informações bancárias.

  2. Análise de segurança do National Scholarship Portal (NSP) publicada, detalhando falhas críticas como URLs de localhost em CSP de produção, 'unsafe-inline' em scripts e IDs de sessão sequenciais, além de investigar a alegação de vazamento de fevereiro.

  3. Notícia atual: Pesquisador reporta 14 falhas em sistemas governamentais indianos, incluindo portais de educação e serviço público, expondo dados de estudantes e milhares de contas bancárias. O portal da Union Public Service Commission tinha interface de admin exposta.

Perguntas frequentes

Quais tipos de dados foram expostos nas vulnerabilidades do governo indiano?

Foram expostos dados de identificação pessoal (PII) de estudantes e administradores, números Aadhaar, números de contas bancárias, dados parentais, históricos de pagamento, hashes de senhas e registros de quase 1,87 milhão de documentos e resultados de exames. A abrangência dos dados torna a situação crítica, pois pode levar a fraudes em múltiplas camadas.

O que são as 'interfaces de administrador expostas' mencionadas na notícia?

Interfaces de administrador expostas são painéis de controle ou páginas de gerenciamento que deveriam ser acessíveis apenas por pessoal autorizado, mas que, devido a falhas de segurança (como senhas fracas ou bypass de autenticação), ficam visíveis ou manipuláveis por usuários não autorizados. No caso, estas interfaces permitiam acesso total aos sistemas e aos dados.

Como a presença de URLs de desenvolvimento na configuração de produção afeta a segurança?

A presença de URLs de desenvolvimento em Content Security Policies (CSP) de produção, como visto no National Scholarship Portal, é um erro grave. Se um invasor conseguir comprometer um ambiente de testes interno, ou mesmo simular um ambiente de desenvolvimento na rede, ele pode injetar códigos maliciosos que o navegador aceitaria como legítimos. Isso facilita o roubo de dados, como números Aadhaar e tokens de sessão, sem que o CSP detecte a violação.

O que é o Aadhaar e por que sua exposição é tão crítica?

O Aadhaar é o sistema de identificação biométrica da Índia, usado para acessar diversos serviços governamentais e financeiros. Sua exposição é crítica porque ele atua como uma identidade digital centralizada. Com o Aadhaar e dados bancários combinados, fraudadores conseguem realizar ataques de troca de SIM, desviar pagamentos e até realizar ataques de phishing altamente direcionados, afetando a segurança financeira e a identidade das vítimas.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser