Get in touch
555-555-5555
mymail@mailservice.com
Ligue para nós +1-555-555-555
Ligue para nós: (41) 2102-0700 / Whatsapp: (41) 98786-0221

Vulnerabilidade afeta SEI e ameaça órgãos públicos

Jackson Hoepers • jan. 29, 2019

Falha descoberta em sistema desenvolvido e cedido pelo TRF-4 expõe dados sensíveis de usuários cadastrados no MEC e FNDE, além de apontar caminhos para pastas acessíveis através de endereços eletrônicos que podem conter credenciais de acesso de diversos órgãos e entidades públicas.


Apenas um dia após o Dia de Privacidade de Dados , que busca conscientizar empresas e população sobre os riscos cibernéticos, um novo vazamento foi descoberto em um software de código aberto utilizado por órgãos públicos.


A Security Report teve acesso, por meio de especialistas que solicitaram sigilo, a três links do Pastebin que continham informações vazadas (os links foram removidos ao longo da apuração). Um deles apresentava testes de vulnerabilidade no módulo de pesquisa pública realizados em instalações do SEI (Sistema Eletrônico de Informações) de órgãos públicos.


Dentre as instituições afetadas estão Ministérios (Educação, Saúde, Agropecuária, entre outros), entidades públicas (Correios, Susep, Fiocruz, entre outros), universidades (UFRGS, UFRJ, UnB, UFMT, entre outras), governos (RO, GO, PE, entre outros) e Tribunais de Justiça (TJES, TJDFT).


Nele era possível verificar endereços diretos (URLs) para pastas dentro dos servidores que, aparentemente, continham informações de credenciais de acesso, conforme a imagem abaixo:



Outros dois links também continham bancos de dados com informações sensíveis (nomes, CPFs, e-mails, endereço, telefones e data de nascimento) de usuários cadastrados em sistemas do MEC (Ministério da Educação e Cultura) e do FNDE (Fundo Nacional de Desenvolvimento da Educação).

Sistema Eletrônico de Informações


O software de código aberto utilizado pelos órgãos públicos afetados pelo vazamento é desenvolvido e fornecido gratuitamente pelo TRF-4. Trata-se de um sistema de gestão de processos e documentos eletrônicos desenvolvido com recursos públicos e que necessita de Ofício assinado por autoridade competente para ser utilizado, seguindo um acordo de cooperação técnica e plano de trabalho definidos.


Segundo portal de Software Público do governo, o sistema busca a liberação de um suporte físico (como o papel) para documentos institucionais, compartilhamento de informações e comunicação em tempo real.


De acordo com especialistas consultados pela Security Report, softwares comprados de desenvolvedoras privadas permitem que se recorra em relação à falha; a empresa pode ser mais facilmente responsabilizada. O mesmo não acontece com sistemas como o SEI.


A recomendação é que as organizações façam análises de vulnerabilidades e pentest em softwares adquiridos ou cedidos, especialmente os de código aberto.


A reportagem entrou em contato com as assessorias de várias instituições relacionadas no vazamento. Até o momento de fechamento dessa matéria, apenas o Ministério da Saúde se pronunciou:


“O Ministério da Saúde informa que detectou um problema no modulo de pesquisa do Sistema Eletrônico de Informações (SEI), e que já corrigiu o problema. A pasta ressalta que o Departamento de Informática do SUS (DATASUS) trabalha, entre outras ações, no sentido de garantir a segurança e operabilidade dos sistemas de saúde de todo o país.”

Fonte: Security Report

Share by: