Dari Kedokteran ke Produksi Cachaça: Memahami Bagaimana Trik 'Tertipu' Enem

Selasa lalu (31/01), TecMundo menerbitkan berita tentang kasus Tereza Gayoso, yang akunnya dibajak di portal INEP dibajak karena sistem pemulihan kata sandi yang rapuh. Dia mengklaim telah mendaftar untuk pengobatan di SISU, tetapi menemukan bahwa penjajah membuatnya berkompetisi dalam kursus Produksi Cachaça di sebuah institusi di pedalaman Minas Gerais. Ini dan kasus-kasus lain para siswa penyandang cacat sudah ada di tangan Polisi Federal, tetapi kami memutuskan untuk menjelaskan kepada Anda bagaimana ini akan terjadi.

Namun sebelum itu, harus dijelaskan bahwa kita tidak dapat memastikan siapa yang harus disalahkan atas kasus ini. Ada tuduhan terhadap kelompok-kelompok di Facebook seperti "Panelinha do Bananal" dan "Ilha da Macacada", tetapi TecMundo menghubungi keduanya, yang menyangkal ada partisipasi di dalamnya. Bukti bahkan hanya ada terhadap pihak ketiga yang dituduh: sebuah forum yang disebut "55chan", yang terdiri dari pengguna anonim.

Pengguna forum ini akan menemukan kegagalan portal INEP dan setuju untuk memanfaatkannya untuk mengubah opsi kursus siswa Enem satu hari sebelum batas waktu untuk modifikasi sistem. Artinya, troll memutuskan untuk melukai siswa pada saat mereka tidak bisa lagi membalikkan situasi, karena SISU tidak mengizinkan perubahan lebih lanjut dalam pilihan kursus setelah 27/01.

Kegagalan yang mudah dicegah

Sangat menarik untuk dicatat bahwa meskipun peretas sebenarnya melakukan kejahatan dan meretas akun siswa di portal INEP, situs web institut ini tidak menyulitkan orang jahat untuk bertindak. Seseorang yang kehilangan kata sandi portal dapat memulihkannya hanya dengan mengisi formulir dengan data publik tentang diri mereka.

Tindakan itu kemungkinan besar dimungkinkan oleh CADSUS

Situs ini hanya menanyakan nomor jaminan sosial, tanggal lahir, nama lengkap, nama ibu dan kota / negara tempat Anda tinggal. Rincian ini dapat dengan mudah diperoleh dengan memindai jejaring sosial serta sistem konsultasi konsumen. Namun, jika pengguna 55Chan yang harus disalahkan, tindakan itu kemungkinan besar dimungkinkan oleh CADSUS.

Pada tangkapan layar di bawah ini, Anda dapat melihat kutipan yang jelas untuk sistem pendaftaran SUS, yang telah menjadi basis data peretas yang dicap sejak lama. TecMundo bahkan telah melaporkan situasi ini, tetapi, tampaknya, Departemen Kesehatan belum menyelesaikan masalah, dan kata sandi platform dan login secara bebas dijual dan dibagikan di Internet.

Dari Kedokteran ke Produksi Cachaça: Memahami Bagaimana Trik 'Tertipu' Enem

INEP dapat mencegah situasi ini dengan tindakan keamanan sederhana

Penjahat dapat memperoleh hampir semua data pribadi warga negara Brazil di CADSUS, dan semua informasi yang diperlukan situs web INEP untuk memulihkan kata sandi ada di sana.

Bahkan lebih sederhana, semua data dicap pada kartu ID siswa. Jika dia kehilangan dokumen, dia bisa dengan mudah menjadi korban dari serangan semacam itu.

INEP, bagaimanapun, dapat mencegah situasi ini dengan tindakan keamanan yang relatif sederhana: mengirim email konfirmasi perubahan kata sandi kepada siswa alih-alih membiarkannya membuat yang baru hanya dengan memeriksa beberapa data. Hanya dengan prosedur ini, peretas tidak bisa lagi mengakses akun tanpa harus meretas email calon juga.

Apa kata INEP

Kami menyarankan lembaga kegagalan dan melaporkan bahwa itu perlu diperbaiki.

TecMundo menghubungi INEP (Institut Nasional untuk Studi dan Penelitian Pendidikan) Senin lalu (30) setelah menerima pengaduan dari sumber anonim tentang kurangnya keamanan di portal INEP.

Kami menyarankan lembaga kegagalan dan melaporkan bahwa itu perlu segera diperbaiki. Sehari kemudian, kasus-kasus siswa yang dirugikan oleh ini mulai muncul. Karena itu, kami meneruskan kasus siswa Tereza Gayoso, yang diungkapkan oleh versi online majalah Época .

INEP hanya memberikan pengembalian obyektif terhadap pernyataan kami kemarin (02/02), yang menyatakan bahwa manajemen saat ini yang mengendalikan institusi hanya mengikuti proses yang disesuaikan oleh manajemen sebelumnya.

“[...] Penting untuk dicatat bahwa manajemen saat ini, ketika mengambil alih INEP pada Mei 2016, telah menemukan proses aplikasi Enem 2016 sedang berlangsung, serta pengumuman masing-masing yang diterbitkan berdasarkan prosedur dan rutinitas yang diadopsi dalam edisi sebelumnya. . Dalam hal ini, apa yang telah dilakukan manajemen saat ini adalah menindaklanjuti penerapan Ujian dengan profesionalisme, keamanan dan dedikasi sepenuhnya, bahkan dalam situasi politik negara, ”kata kantor pers institut.

Namun, kami berkonsultasi dengan pengumuman tersebut di situs web INEP sendiri dan menemukan segmen dokumen yang berkaitan dengan pemulihan kata sandi. Di dalamnya, dimungkinkan untuk menyadari bahwa INEP tidak mengikuti aturannya sendiri untuk realisasi Enem 2016.

“5.3.1 Pemulihan kata sandi dilakukan di Situs Web Peserta di http://Enem.inep.gov.br/participante dan dikirim melalui email atau seluler, melalui SMS, diinformasikan oleh PARTICIPANT sendiri pada saat pendaftaran. ”, Bunyinya di pengumuman.

Jika ini memang prosedur yang diadopsi pada halaman, yang tidak mengirim SMS atau email ke peserta dengan kata sandi baru, kasus-kasus siswa dengan akun yang dibajak tidak akan terjadi.

INEP juga mengatakan sedang mengerjakan prosedur keamanan baru untuk melindungi peserta, tetapi tidak berniat untuk menerapkan semua ini dalam beberapa hari mendatang. "Manajemen saat ini menganggap [sistem tidak aman] dan sedang berupaya memperbaiki prosedur ini, antara lain, untuk aplikasi Ujian berikutnya."

Tidak perlu menjadi seorang hacker

TecMundo juga berbicara dengan para pakar keamanan virtual sehingga mereka dapat mengevaluasi kasus ini dan memberikan pendapat mereka tentang sistem pemulihan kata sandi di portal INEP. Menurut mereka, Anda tidak harus menjadi peretas untuk masuk ke akun peserta Enem.

“Di dunia yang semakin terhubung, setiap orang jahat dapat dengan mudah menemukan informasi pribadi pengguna - seperti nomor jaminan sosial mereka, ulang tahun dan nama orang tua - di lingkungan online (jaringan sosial dan situs pencarian, misalnya) dan, dari sana, akses akun pribadi [di portal INEP]. Sistem pertukaran kata sandi ini tidak memerlukan keahlian jahat, ”kata manajer keamanan PSilfe Emilio Simone.

... perlu segera memperkuat keamanan portal ini ...

Dia lebih lanjut berpendapat bahwa keamanan portal ini perlu segera diperkuat, terutama karena ini adalah platform pemerintah yang penting.

Kami bertanya kepada Simone bagaimana institusi seharusnya menangani masalah ini, dan dia menunjukkan solusi sederhana yang, pada kenyataannya, hampir sama dengan Pemberitahuan Publik Enem 2016 yang mengharuskannya diterapkan.

“Alternatif untuk meningkatkan keamanan sistem semacam itu adalah dengan mengirim kata sandi sementara ke email yang terdaftar. Jadi, untuk mengakses platform, pengguna harus meretas email pribadi mereka untuk mengubah kata sandi, yang sudah bertindak sebagai peningkatan keamanan, ”katanya.

Enkripsi Halaman

Pelanggaran keamanan lain, selain dari sistem pemulihan kata sandi yang gagal ini, adalah bahwa portal INEP tidak menggunakan enkripsi pada halamannya untuk melakukan lalu lintas data. Situs ini berjalan pada protokol HTTP yang lama dan tidak aman, bukan HTTPS, yang merupakan standar baru yang digunakan pada platform yang memerlukan otentikasi pengguna.

Tanpa HTTPS, penjahat dapat membobol jaringan WiFi Anda dan mencegat semua data yang Anda kirim dan terima di situs INEP dengan sedikit usaha. Jika Anda mengakses dari jaringan publik, seperti dari toko mana pun atau bahkan rumah, intersepsi bahkan lebih mudah, karena peretas tidak perlu bersusah payah untuk masuk ke jaringan lokal. mudah diakses. "Mengirim informasi sensitif melalui protokol yang tidak dienkripsi adalah risiko besar, " kata Simone.

Bisakah kamu melakukan sesuatu?

Jika penjahat memiliki akses ke CADSUS atau platform lain dengan data pribadi warga Brasil, siswa yang menyediakan Enem sebenarnya tidak berdaya. Jika penjahat mengetahui nama Anda, ia dapat mencari nomor jaminan sosial Anda, tanggal lahir, tempat tinggal, dan nama orang tua Anda di CADSUS. Ini memungkinkannya untuk mengubah kata sandi dan melakukan tindakan apa pun di portal INEP.

Jika penjahat memiliki akses ke CADSUS, siswa yang menyediakan Enem sebenarnya tidak berdaya.

Karena pendaftaran untuk SISU telah ditutup, tidak ada banyak yang harus dilakukan di sana saat ini, tetapi pelanggaran keamanan masih terbuka. Namun, jika seorang siswa ingin mendaftar untuk panggilan kedua, ia mungkin saja kehilangan kesempatan, karena seorang peretas dapat mengubah emailnya yang terdaftar dan mencegah orang tersebut menerima peringatan dari INEP.

Tentu saja ada kemungkinan dengan mudah melanjutkan akses ke akun, seperti halnya peretas membajaknya, tetapi orang harus waspada dan masuk sering untuk memastikan semuanya benar.

Mengabaikan kemungkinan penjahat memiliki akses ke CADSUS, ada beberapa tindakan pencegahan yang dapat dilakukan untuk menghindari menjadi korban. Staf Avast memberi kami "empat saran" untuk disampaikan kepada siswa. Lihat ini:

Waspadalah terhadap jejaring sosial : Berbagi terlalu banyak berbahaya. Periksa pengaturan privasi di akun media sosial Anda dan selalu berusaha untuk tetap terlindung;

Pindai router Anda : Tidak cukup hanya memindai PC Anda dari malware dan virus, karena seorang peretas juga dapat menyerang router Anda, membajak DNS Anda dan membawa Anda ke situs web palsu. Lakukan ini dengan bantuan antivirus;

Gunakan VPN di internet publik : Anda perlu mengenkripsi data Anda saat berada di rumah lan atau menggunakan internet gratis di tempat umum, jika tidak, jika jaringan itu diretas, semua data Anda dapat diakses oleh peretas. Selalu gunakan Virtual Private Network (VPN) dalam kasus seperti itu.

Waspadalah terhadap serangan rekayasa sosial : Jika seseorang mengirimi Anda email meminta data pribadi Anda dan menjanjikan uang atau mengancam akan menuntut Anda atau membawa nama Anda ke, misalnya, Serasa, curiga. Data pribadi tidak boleh dibagikan secara online.

Perusahaan keamanan bahkan merekomendasikan Anda membuat kata sandi yang kuat untuk semua jenis akun platform web; tetapi dalam kasus portal INEP, tidak masalah, karena sayangnya kata sandi dapat dengan mudah diatur ulang.

Melalui TecMundo.

Dari Kedokteran ke Produksi Cachaça: Memahami Bagaimana Trik 'Tertipu' Enem

Kegagalan yang mudah dicegah

Apa kata INEP

Tidak perlu menjadi seorang hacker

Enkripsi Halaman

Bisakah kamu melakukan sesuatu?

Dan untuk perubahan ... 15 lebih banyak gambar yang membuktikan Anda memiliki pikiran yang tercemar

Dia pergi ke Iran dan mendaftarkan negara dengan cara yang belum pernah dilihat sebelumnya.

Temui Pigcasso, babi kecil yang menjual gambar dengan harga yang tidak masuk akal

12 urinal aneh yang harus kencing suatu hari nanti

Temui 5 pohon tertua di planet ini

7 teori konspirasi bencana yang dikenal luasHot

Dompet mewah memiliki format yang tidak biasaHot

Orang terbaik: Dona Irene menciptakan Olympic "Torch" sendiriHot

Senter baru adalah bazooka cahaya sejati [galeri]Hot

Temukan program baru untuk mendeteksi risiko dampak asteroid

Untuk waktu yang lama nenek moyang kita tidak mengenal warna biru

Universitas Jepang memasang meja sendirian di kafetaria

Bagaimana Anda akan bereaksi ketika melihat seseorang membaca buku dengan sampul ini? [video]

Ilmuwan Brazil menemukan spesies katak lebih kecil dari kuku mereka

Seluruh kota sedang dipindahkan di Swedia untuk tidak tenggelam

Dalam 15 tahun, Terra bisa menghadapi mini 'zaman es', kata para peneliti