SP: alunos de universidades privadas têm dados vazados

Duas universidades privadas foram alvo, nos últimos dias, de ataques cibernéticos. A Universidade Anhembi Morumbi teve mais de 1 milhão de dados de alunos vazados e a Universidade Nove de Julho teve sua página hackeada. Os dois episódios reforçam a vulnerabilidade das universidades brasileiras a invasões do tipo e se juntam a uma série de ataques que têm ocorrido desde o ano passado.

No ano passado, um grupo de hackers, o mesmo que neste ano vazou exames do presidente Jair Bolsonaro e foi alvo de uma operação da Polícia Federal, vazou dados pessoais da Faculdade de Medicina da Universidade de São Paulo (USP). Em janeiro deste ano, foi a vez da Universidade Estadual de Campinas (Unicamp) ter um dos seus sistemas invadidos.

De acordo com um levantamento feito pela empresa HarpiaTech, que monitora a atividade de 1.400 hackers na internet, os servidores da Rede Nacional de Ensino e Pesquisa, que permite o compartilhamento de pesquisas críticas para o desenvolvimento nacional e conecta os sistemas das universidades federais a universidades estrangeiras, foram alvos de 42 mil incidentes de fevereiro até esta quinta-feira.

A Fundação Carlos Chagas de Amparo à Pesquisa (Faperj), por sua vez, foi alvo de 16 mil incidentes. A maioria dos ataques foi em busca de ativos vulneráveis, passíveis de exploração.

O ataque ao sistema do grupo Laureate International Universities, que controla, entre outras faculdades, a Anhembi Morumbi, foi revelado pelo site “TecMundo” e confirmado pelo GLOBO. O banco de dados com informações pessoais, segundo o site, já circulava no mercado de compra e venda desse tipo de informação há pelo menos seis meses.

A universidade afirmou que foi vítima de um ataque cibernético de hackers que tentaram acessar espaços protegidos por login e senha.

“Desde que identificou tal tentativa, a Universidade tratou o tema de forma imediata e com todas as providências exigidas pela lei”, afirmou a direção da instituição, por meio de nota.

A Anhembi Morumbi esclareceu que a segurança da informação, assim como a segurança física e o bem-estar de sua comunidade acadêmica, é uma de suas prioridades e um item de total atenção e trabalho por parte de seus funcionários. “Por isso, investe recursos de forma contínua com o objetivo de garantir a privacidade e a proteção de dados pessoais dos nossos alunos, docentes e demais colaboradores”, afirmou.

Na manhã desta quinta-feira, a Universidade Nove de Julho também teve seu site invadido. A princípio, o hacker responsável pelo ataque não vazou informações de alunos, mas apenas deixou uma mensagem no site do estabelecimento de ensino. O ataque foi feito por um hacker que se intitula de “elsanninja”, que deixou a mensagem “menos propaganda, mais segurança” na home por algumas horas.

O GLOBO procurou a assessoria de imprensa da universidade por e-mail, mas não teve retorno até a publicação desta reportagem..

— As redes das universidades, por serem abertas, voltadas para atividades de pesquisa, têm poucas amarras, então é um ambiente propício para esse tipo de ataque porque cria facilidades — afirma Filipe Soares, da HarpiaTech, empresa que monitora hackers.

Universidades brasileiras não promovem cultura de segurança entre sua comunidade

De acordo com Soares, a maioria das universidades brasileiras ainda não se enxerga como potencial alvo desse tipo de ataque e não promovem uma cultura de segurança entre docentes, alunos e funcionários.

Soares destacou que as universidades brasileiras estão realizando atualmente diversas pesquisas focadas no novo coronavírus que podem chamar a atenção não apenas de criminosos nacionais como também internacionais.

Instituições como o Instituto Butantan e a Fundação Oswaldo Cruz, por exemplo, fizeram parcerias para o desenvolvimento de vacinas contra a Covid-19.

Em julho, o governo dos Estados Unidos acusou dois hackers de terem atuado com apoio da agência de inteligência da China para roubar segredos de empresas de mais de 11 países, entre eles os próprios EUA, Reino Unido e Alemanha.

— Temos universidades colaborando com dados para essa pesquisa, e isso desperta interesse. A cultura acadêmica é propagar conhecimento, mas é preciso perceber que o conhecimento, enquanto não é patenteado, pode ser alvo de operações sistemáticas e de extravio de informações — afirma Soares.

Além disso, as universidades federais estão todas conectadas por meio da Rede Nacional de Ensino e Pesquisa, uma das mais antigas e maiores redes de interligação de servidores no país, que permite o compartilhamento de pesquisas críticas para o desenvolvimento nacional.

Os ataques ocorrem em meio ao adiamento da Lei Geral de Proteção de Dados. Em abril, o governo federal, por meio de medida provisória, adiou a entrada em vigor da lei para maio de 2021. Inicialmente, ela estava prevista para agosto deste ano. A lei prevê multas de até R$ 50 milhões contra empresas que não garantirem medidas de segurança dos dados de seus clientes e funcionários, assim como mecanismos para que vazamentos não sejam mantidos em segredo pelas empresas.

Em 2020, segundo o Centro de Tratamento e Resposta a Incidentes Cibernéticos do Governo Federal, já houve 249 incidentes de vazamentos em computadores do governo federal. Em junho deste ano, o GLOBO revelou que houve um aumento de ativismo na comunidade hacker brasileira durante a pandemia.

De dados sensíveis a documentos acadêmicos

Em julho deste ano, um pesquisador publicou em suas redes sociais a presença de diversos documentos de disciplinas ministradas na USP e que estavam disponíveis para o público em geral. O acesso aos documentos não exige qualquer invasão aos sistemas da universidade, mas uma pesquisa avançada em mecanismos de busca.

Ao fazer uma pesquisa por “site:edisciplinas.usp.br filetype:pdf” no mecanismo de pesquisa, é possível encontrar mais de 100 mil resultados de documentos que foram colocados no sistema por professores, originalmente para os alunos que estudam na universidade. Ao refinar ainda mais a pesquisa, é possível encontrar artigos e textos de autores famosos.

Ao adicionar, por exemplo, o termo “Foucault” à pesquisa é possível ter acesso a obras do filósofo francês Michel Foucault. Ou, ainda, é possível adicionar o termo “Milton Santos” e ter acesso a textos como “Metamorfoses do espaço habitado”, um dos livros publicados por aquele que é considerado o maior geógrafo brasileiro.

Procurada, a USP afirmou que, segundo a Superintendência de Tecnologia da Informação, não há nada de errado com a plataforma e que o próprio professor que ministra a disciplina é que decide quais documentos ficarão públicos no sistema. *As informações são jornal Globo.