Após uma falha de segurança nos sistemas da Fundação Getúlio Vargas (FGV), diversos dados de candidatos cadastrados no sistema da instituição ficaram vulneráveis. Além dos candidatos, ex-alunos e funcionários também tiveram seus dados expostos, cujo armazenamento se deu em um banco de dados desprotegido, conforme informou o site Tecnoblog.
A falha foi descoberta por um leitor do site Tecnoblog, identificado como Belgra, o qual conseguiu acessar um banco de dados e um sistema online da FGV. A partir disso, foi possível acessar informações pessoais de vários candidatos. Foram compartilhados, também, links de dados teste, que provavelmente foram cadastrados durante o desenvolvimento do sistema e são fictícios.
Falha de segurança expõe diversos dados
Entre os dados vazados, foram encontrados dados sensíveis, incluindo: RGs (com data de expedição e órgão expedidor), CPF, data de nascimento, cidade e nacionalidade e estado civil. Além desses, foram identificados outros documentos importantes como título de eleitor, alistamento militar e certificado de dispensa ou de reservista.
O endereço, e-mail, telefone, contatos de emergência, dados do pai e da mãe, cadastro de responsável financeiro (presumivelmente para menores de idade) e dados profissionais também foram expostos.
Belgra diz que a falha de segurança existe desde, pelo menos, 2020 e continuou sem correção até a publicação do texto no site Tecnoblog. Além disso, Belgra foi capaz de acessar banco de dados com várias tabelas e informações variadas, incluindo vencimento de boletos, calendários escolares e títulos da livraria. Essa conjunto de informações de candidatos, ex-alunos e funcionários totalizam mais de 800 mil registros do sistema. É importante ressaltar que nem todas as entradas estão completas e algumas são de teste.
A FGV tem, segundo dados de um relatório de 2020, cerca de 5 mil alunos de graduação, 2 mil de mestrado e 400 de doutorado, além de mais de 99 mil em educação continuada.
Posicionamento da Instituição
Em seu site, a FGV destaca a área de proteção de dados, onde garante o cumprimento da Lei Geral de Proteção de Dados e que “está comprometida em proteger e resguardar os direitos dos titulares de dados, assim como em ser um agente propagador da importância dos direitos relativos à privacidade e à proteção de dados pessoais”. A página ainda traz contatos para dúvidas e reclamações e o link para um portal dos direitos dos titulares de dados pessoais.
Referência: Tecnoblog
