Falha no sistema de gestão de escolas expôs 128 mil utilizadores

Especialista conta que estavam acessíveis os dados do Cartão do Cidadão, era possível aceder aos horários dos alunos e até a informação sobre doenças, sobretudo alergias. Ministério da Educação diz que, “de acordo com a informação disponibilizada, as fragilidades técnicas detectadas terão sido superadas”.

Foto
Paulo pimenta

O Sistema Integrado de Gestão de Escolas (SIGE) teve durante “vários anos” expostos os dados de “128.420 utilizadores devido à falta de mecanismos de autenticação e de autorização”, revelou hoje à Lusa um especialista de cibersegurança.

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

O Sistema Integrado de Gestão de Escolas (SIGE) teve durante “vários anos” expostos os dados de “128.420 utilizadores devido à falta de mecanismos de autenticação e de autorização”, revelou hoje à Lusa um especialista de cibersegurança.

Luís Catarino, director executivo da Adamant Sec, explicou que a descoberta aconteceu no âmbito da acção social desenvolvida por esta empresa de cibersegurança que, em 2018, decidiu “varrer” o SIGE para testar a sua segurança. Da análise feita em parceria com Pedro Rodrigues foram “detectadas vulnerabilidades que atingiam cerca de 128 mil alunos” e cujo relatório, segundo o responsável da empresa, foi depois reportado à “Secretaria de Estado da Educação, a 7 de Maio de 2018”.

O Ministério da Educação confirmou à Lusa a descoberta e a recepção do relatório tendo informado que o “problema foi transmitido à FCCN RCTS-CERT”, serviço de resposta a incidentes de segurança informática cuja origem ou o alvo seja a Rede Ciência, Tecnologia e Sociedade.

“Esta instituição, após a análise efectuada, abriu um incidente no Centro Nacional de Cibersegurança”, tendo sido também “contactado o Ministério da Educação”, lê-se ainda na resposta do ministério que, tendo por base que as “falhas detectadas estão associadas a um software comercial”, informou ainda que decorreu "uma reunião com a empresa visada e as três entidades públicas que acompanharam o processo: Centro Nacional de Cibersegurança, RCTS-CERT e Direcção-Geral de Estatísticas da Educação e Ciência (DGEEC)”.

Nesse encontro, prossegue a nota do ministério, “foi pedido um plano de resolução de vulnerabilidades à empresa”, chegando-se ao “compromisso de que a resolução dos temas críticos referidos seria efectuado até 31 de Outubro de 2018”.

“Foi efectuado o acompanhamento da situação e considerou-se que, em Março de 2019, estavam reunidas condições para que o autor do relatório de vulnerabilidade procedesse à divulgação da informação”, acrescenta o documento.

Entre as vulnerabilidades descobertas, Luís Catarino destacou a “falta de qualquer mecanismo de autenticação e de autorização na plataforma para acesso aos dados”, frisando a exposição de dados de “professores, funcionários, alunos e encarregados de educação”. “E já estaria assim desde a sua implementação, há bastantes anos”, acrescentou.

Informando terem conseguido “identificar 24 instituições expostas à Internet” entre as “44 que têm esta plataforma”, a solução do problema transitou para a “Direcção-Geral de Estatísticas da Educação e Ciência, entidade responsável pela infraestrutura tecnológica do ministério, que juntamente com a empresa que desenvolveu e mantém este software deram resposta e resolveram as vulnerabilidades”.

“O sigilo foi mantido até 30 de Março de 2019, até estar concluída a deslocação às escolas e feita a migração para a nova solução encontrada”, explicou Luís Catarino.

"Potencial roubo de identidade"

Elencando os perigos, além do “potencial roubo de identidade, pois estavam acessíveis os dados do Cartão do Cidadão, era possível também aceder aos horários, ao código pin do cartão do aluno e até às doenças, sobretudo alergias, de quem figurava na plataforma”, Luís Catarino admitiu que os dados “podiam ir parar a redes de pedofilia”.

“Na nossa análise levantámos dados de 128.420 utilizadores”, informou.

Enfatizando que o “100% não existe em cibersegurança”, Luís Catarino defende que “um sistema está seguro quando não compensa o esforço de lá entrar”.

O Ministério da Educação referiu ainda que, “de acordo com a informação disponibilizada, as fragilidades técnicas detectadas terão sido superadas”.