escolas

Falha no sistema de gestão de escolas expôs 128 mil utilizadores

FOTO: ADELINO MEIRELES / GI
FOTO: ADELINO MEIRELES / GI

Descoberta aconteceu no âmbito da ação social desenvolvida por empresa de cibersegurança que, em 2018, decidiu "varrer" o SIGE para testar segurança.

O Sistema Integrado de Gestão de Escolas (SIGE) teve durante “vários anos” expostos os dados de “128.420 utilizadores devido à falta de mecanismos de autenticação e de autorização”, revelou hoje à Lusa um especialista de cibersegurança.

Luís Catarino, diretor executivo da Adamant Sec, explicou que a descoberta aconteceu no âmbito da ação social desenvolvida pela empresa de cibersegurança que, em 2018, decidiu “varrer” o SIGE para testar a sua segurança.

Da análise feita em parceria com Pedro Rodrigues foram “detetadas vulnerabilidades que atingiam cerca de 128 mil alunos” e cujo relatório, segundo o responsável da empresa, foi depois reportado à “Secretaria de Estado da Educação, a 07 de maio de 2018”.

O Ministério da Educação confirmou à Lusa a descoberta e a receção do relatório tendo informado que o “problema foi transmitido à FCCN RCTS-CERT”, serviço de resposta a incidentes de segurança informática cuja origem ou o alvo seja a Rede Ciência, Tecnologia e Sociedade.

“Esta instituição, após a análise efetuada, abriu um incidente no Centro Nacional de Cibersegurança”, tendo sido também “contactado o Ministério da Educação”, lê-se ainda na resposta do ministério que informou, tendo por base que as “falhas detetadas estão associadas a um software comercial”, ter decorrido “uma reunião com a empresa visada e as três entidades públicas que acompanharam o processo: Centro Nacional de Cibersegurança, RCTS-CERT e Direção-Geral de Estatísticas da Educação e Ciência (DGEEC)”.

Nesse encontro, prossegue a nota do ministério, “foi pedido um plano de resolução de vulnerabilidades à empresa”, chegando-se ao “compromisso de que a resolução dos temas críticos referidos seria efetuado até 31 de outubro de 2018”.

“Foi efetuado o acompanhamento da situação e considerou-se que, em março de 2019, estavam reunidas condições para que o autor do relatório de vulnerabilidade procedesse à divulgação da informação”, acrescenta o documento.

Entre as vulnerabilidades descobertas, Luís Catarino destacou a “falta de qualquer mecanismo de autenticação e de autorização na plataforma para acesso aos dados”, frisando a exposição de dados de “professores, funcionários, alunos e encarregados de educação”.

“E já estaria assim desde a sua implementação, há bastantes anos”, acrescentou.

Informando terem conseguido “identificar 24 instituições expostas à internet” entre as “44 que têm esta plataforma”, a solução do problema transitou para a “Direção-Geral de Estatísticas da Educação e Ciência, entidade responsável pela infraestrutura tecnológica do ministério, que juntamente com a empresa que desenvolveu e mantém este software deram resposta e resolveram as vulnerabilidades”.

“O sigilo foi mantido até 30 de março de 2019, até estar concluída a deslocação às escolas e feita a migração para a nova solução encontrada”, explicou Luís Catarino.

Elencando os perigos, além do “potencial roubo de identidade, pois estavam acessíveis os dados do Cartão do Cidadão, era possível também aceder aos horários, ao código pin do cartão do aluno e até às doenças, sobretudo alergias, de quem figurava na plataforma”, Luís Catarino admitiu que os dados “podiam ir parar a redes de pedofilia”.

“Na nossa análise levantámos dados de 128.420 utilizadores”, informou.

Enfatizando que o “100% não existe em cibersegurança”, Luís Catarino defende que “um sistema está seguro quando não compensa o esforço de lá entrar”.

O Ministério da Educação referiu ainda que, “de acordo com a informação disponibilizada, as fragilidades técnicas detetadas terão sido superadas”.

Comentários
Outras Notícias que lhe podem interessar
Hoje

Página inicial

LUÍS FORRA/LUSA

Dia 7. Patrões e motoristas divididos por 50 euros

Motoristas em greve junto à saída da sede da Companhia Logística de Combustíveis (CLC), em Aveiras de Cima, durante a greve por tempo indeterminado dos motoristas de matérias perigosas e de mercadorias, Azambuja, 16 de agosto de 2019. Portugal está, desde sábado e até às 23:59 de 21 de agosto, em situação de crise energética, decretada pelo Governo devido a esta paralisação, o que permitiu a constituição de uma Rede de Emergência de Postos de Abastecimento (REPA), com 54 postos prioritários e 320 de acesso público. TIAGO PETINGA/LUSA

Greve dos motoristas: atenções voltadas para plenário de trabalhadores

Outros conteúdos GMG
Falha no sistema de gestão de escolas expôs 128 mil utilizadores