Enem 2016 foi o primeiro que não exigiu 'duas etapas' para recuperar senha. Em fórum anônimo, grupo planejou mudar inscrições no Sisu. Três candidatos denunciaram invasões.
O Governo federal mudou, na edição de 2016 do Exame Nacional do Ensino Médio (Enem), as regras de acesso individual dos candidatos aos sistemas on-line. A edição aplicada no ano passado, e usada pelos estudantes para concorre a vagas no Sistema de Seleção Unificada (Sisu) 2017, deixou de exigir a chamada "verificação em duas etapas" para que os candidatos façam login ou recuperem a senha.
Após a mudança, candidatos denunciaram acesso de terceiros em seus perfis no Sisu e alterações indesejadas nas opções de cursos nos quais concorriam. Um fórum anônimo na internet mostra que ao menos um grupo divulgou dicas para "roubar" a senha de estudantes que se destacaram no Enem 2016 e manipular suas participações no Sisu, que usa a mesma senha.
O Ministério da Educação (MEC) afirmou, no fim da tarde desta terça-feira (31), que não registrou "indício de acesso indevido a informações de estudantes cadastrados, que configure incidente de segurança". O governo diz que vai acionar a Polícia Federal para apurar os casos relatados pelos alunos.
E-mail e telefone: reclamações
O Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) afirmou que a mudança na recuperação de senha foi feita na gestão anterior e não sabe informar o motivo da flexibilização.
Entretanto, o Inep disse que funcionários avaliam que o envio das senhas por e-mail ou telefone "não significava aumento de segurança" e "causava um número grande de reclamações" por eventuais não recebimento das novas senhas.
"Para 2017 várias mudanças estão sendo analisadas no que tange ao edital, sistema de inscrição e sistemas de segurança do Exame, incluindo os procedimentos para troca de senha", informou o Inep.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2017/K/t/hEkw63QO6GDDSk4vNkIQ/enem-senha.jpg "Em teste feito pelo G1, senha de candidata de São Paulo foi modificada em menos de um minuto, com acesso a alguns dados pessoais (Foto: Reprodução/Inep)")
Em teste feito pelo G1, senha de candidata de São Paulo foi modificada em menos de um minuto, com acesso a alguns dados pessoais (Foto: Reprodução/Inep)
Denúncias de invasão
Três candidatos do Sisu ouvidos pelo G1 relataram ter tido suas senhas do Enem 2016 alteradas por terceiros. Uma estudante de Sergipe acabou perdendo a chance de ser aprovada no Sisu por causa de uma alteração em sua inscrição que ela alega não ter feito.
A sergipana Anne Caroline Santos, de 19 anos, tirou a nota máxima na redação do Enem. Ela sonhava em cursar medicina na Universidade Federal de Sergipe (UFS), mas percebeu que não tinha nota suficiente após a divulgação das notas de corte parciais. No domingo (29), no último dia de inscrições do Sisu, ela mudou suas opções: colocou medicina em Mossoró (RN) como primeira opção, e enfermagem na UFS como segunda opção. Sua segunda opção era garantia de aprovação.
“Coloquei enfermagem porque tinha pontos suficientes para passar, mas quando fui conferir o resultado estava alterado. Na segunda opção apareceu medicina na Unioeste/PR. Com isso, não senti a alegria de ser aprovada em um curso superior e agora estou na lista de espera de medicina”, lamentou ela, em entrevista ao G1.
Disputa com hacker
O estudante Thales Maciel, de 21 anos, mora em Ribeirão Preto, em São Paulo, e foi aprovado no curso de medicina da Universidade Federal do Mato Grosso do Sul (UFMS). Porém, ele suspeita que foi hackeado. Ele conta que durante todo o período do Sisu teve problemas com a inscrição.
“Todo dia em que eu tentava entrar no sistema não conseguia acessar e tinha de trocar a senha. Quando conseguia logar via que a minha segunda opção estava sempre mudada. Mexeram nas minhas escolhas todos os dias", afirmou ele ao G1. Em uma das vezes, inclusive, o candidato disse que estava inscrito na Universidade Federal de Goiás (UFG) como cotista, sendo que ele não está no perfil dos contemplados pela lei de cotas, já que fez o ensino médio em uma escola particular.
Thales disse que ficou monitorando o sistema nas últimas horas antes do seu encerramento, às 23h59 do domingo (29), para se certificar que a inscrição estava correta e não correr o risco de ser aprovado em um curso que não escolheu. Ele fez a denúncia ao Ministério da Educação e pretende registrar um boletim de ocorrência.
Tereza Gomes ganhou repercussão nacional quando descobriu ter sido uma das 77 pessoas que conseguiu nota mil na redação. Porém, como suas notas nas provas objetivas ficaram abaixo do esperado, a jovem da Paraíba acabou decepcionada no período de inscrições do Sisu. Após verificar a primeira nota de corte do sistema, ela viu que não passaria nas opções de cursos de medicina que tinha em mente. Portanto, desde sexta-feira (27) ela deixou de acessar seu perfil no Sisu. Ela disse que manteve sua inscrição em duas opções de cursos de medicina, mesmo sabendo que não teria chance de ser aprovada.
A notícia de que seu perfil poderia ter sido invadido veio pelo Facebook no fim da manhã desta terça-feira (31), quando ela recebeu mensagens privadas informando que ela estava na lista de aprovados do curso de produção de cachaça, do Instituto Federal de Educação, Ciência e Tecnologia do Norte de Minas Gerais (IFNMG). Foi então que ela se lembrou de outra mensagem, enviada na noite de segunda-feira (30), de uma pessoa desconhecida, com uma imagem da lista de aprovados no curso do IFNMG. Ela diz que achou que fosse uma montagem e não deu atenção.
“Imagina se eu tivesse média para passar para medicina? Além disso, prejudicou quem queria esse outro curso”, disse ela ao G1.
Em um teste, foi confirmado que a senha da estudante foi alterada. No fórum anônimo onde internautas combinaram tentativas de roubo de senha, a paraibana é uma das vítimas mencionadas (veja abaixo). Tereza diz que já se matriculou em um novo cursinho, para tentar pela sexta vez conseguir a aprovação na graduação em medicina.
O caso gerou comentários pejorativos nas redes sociais sobre o curso de produção de cachaça e fez com que o IFNMG reagisse. Em seu perfil oficial no Facebook, o instituto reprovou a ação de hackers, mas também exigiu respeito a seu curso de produção de cachaça, oferecido na cidade mineira de Salinas e que, segundo o IFNMG, é o único do país oferecido por uma instituição pública.
"Tanto os alunos quanto o curso Produção de Cachaça merecem o nosso respeito. Para quem não sabe, Salinas é uma cidade do Norte de Minas reconhecida mundialmente pela produção de cachaça, e o curso é o único do país oferecido por instituição pública na área. Quem tirou nota mil pode cursar o que quiser. Afinal, quem é nota mil terá sucesso em qualquer área. E a cachaça de Salinas é nota mil!"
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2017/S/6/gKdw4ATLmB2rzVWLXkWw/ifnmg.jpg "Instituto Federal do Norte de Minas Gerais defendeu, nas redes sociais, o curso de produção de cachaça oferecido no campus de Salinas (Foto: Reprodução/Facebook)")
Instituto Federal do Norte de Minas Gerais defendeu, nas redes sociais, o curso de produção de cachaça oferecido no campus de Salinas (Foto: Reprodução/Facebook)
Sistema de segurança 'fraco'
Especialista em segurança digital e colunista do G1, Altieres Rohr afirma que o sistema de segurança do Enem é "fraco" e possui falhas graves. "O sistema é, evidentemente, fraco. O CPF não é informação confidencial e todas as demais informações é possível descobrir no Facebook de muitos candidatos", diz ele.
"Ele também sofre de uma falha gravíssima", afirma Rohr. "Todos os dados necessários para trocar a senha (CPF, nome da mãe, residência, nascimento) são 'fixos'. Uma vez que alguém consegue esses dados seus, a pessoa vai, para sempre, poder trocar sua senha. Ou seja, a pessoa está com a chave-mestra do seu login e você não pode fazer nada a respeito."
O especialista compara o acesso ao site do Enem com o de outros serviços. "Compare isso com um mecanismo que depende de confirmação por e-mail. Caso alguém roube sua conta de e-mail e consiga autorizar uma troca de senha, você pode, então, trocar a senha de acesso ao seu e-mail e bloquear o acesso do bandido. Dali em diante, você fica protegido. Já no Sisu, não há o que mudar, não há o que fazer."
Caso alguém roube sua conta de e-mail e consiga autorizar uma troca de senha, você pode, então, trocar a senha de acesso ao seu e-mail e bloquear o acesso do bandido. Dali em diante, você fica protegido. Já no Sisu, não há o que mudar, não há o que fazer.
(Altieres Rohr, especialista em segurança digital)
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2017/Y/w/gcoHPWTKSz5muGdIlaig/print.jpg "Fórum anônimo na internet explorou brecha de segurança do Enem usando dados da estudante da Paraíba que ganhou repercussão por causa de sua nota mil na redação (Foto: Reprodução)")
Fórum anônimo na internet explorou brecha de segurança do Enem usando dados da estudante da Paraíba que ganhou repercussão por causa de sua nota mil na redação (Foto: Reprodução)
Fórum anônimo explorou falha
Essa falha foi supostamente explorada por internautas, que se reuniram em um fórum anônimo para disseminar dicas de como roubar a senha de candidatos do Enem e alterar suas inscrições no Sisu. Na manhã desta terça-feira, as mensagens no fórum já haviam sido apagadas.
De acordo com o especialista Altieres Rohr, o fórum é uma espécie de "vale-tudo" criado nos mesmos moldes dos fóruns do 4chan (Estados Unidos). "Esse tipo de fórum é bastante permissivo quanto ao conteúdo e por isso se tornam lugares notórios para organizar trotes e 'zoação'. Eles não são exatamente hackers, mas muitos não são santos e fazem questão de possuir acesso a dados pessoais (ou fotos íntimas) com o intuito de realizar trotes ou assediar a pessoa/bullying. Depois, eles compartilham no fórum com os demais usuários para ridicularizar as vítimas publicamente."
Durante a "peça" que decidiram pregar nos estudantes, Rohr destaca que os internautas "mencionam o CadSUS para obter CPF. Outro termo comum empregado nos 'chans' brasileiros é o de 'Serasafag', que significa alguém que tem acesso ao Serasa. É comum um 'Serasafag' aparecer e divulgar dados de pessoas que outros participantes pedem. Normalmente fazem isso pra algum objetivo pessoal, trote, assédio etc. É algo que está sempre na margem do crime, do bom senso ou do bom gosto."
Edições anteriores tinham segunda camada de segurança
Na edição de 2015, além de informações pessoais, para recuperar ou solicitar uma nova senha de acesso ao site oficial do Enem, o candidato precisava inserir o número de celular ou o endereço de e-mail informados no ato da inscrição no Enem. Assim, a nova senha seria enviada para outro ambiente ao qual apenas o candidato tivesse acesso. Isso quer dizer que, para roubar a senha, seria preciso, além de obter informações pessoais, ter acesso ou ao aparelho de telefone do candidato, ou ao endereço e senha do e-mail usado na inscrição.
Rohr explica que, "no caso do Sisu, como é um sistema de uso nacional e com vários requisitos de acessibilidade plena, é bastante difícil de projetar um sistema com autenticação de dois passos".
Ele diz que é possível usar diversas informações para criar essa camada de segurança, inclusive celular, e-mail. "No fim, poderiam pedir o número da inscrição no Enem. Se a pessoa não tiver nada, aí ela perdeu a conta e precisa ser verificada pelo suporte, mas isso tem custo."
Nenhum comentário:
Postar um comentário