O governo federal flexibilizou, na edição de 2016 do Exame Nacional do Ensino Médio (Enem), as regras de acesso individual dos candidatos aos sistemas on-line. A edição aplicada no ano passado, e usada pelos estudantes para concorrer a vagas no Sistema de Seleção Unificada (Sisu) deste ano, deixou de exigir a chamada "verificação em dois passos" para que os candidatos pudessem recuperar sua senha.
Após a mudança, candidatos denunciaram acesso de terceiros em seus perfis pessoais no Sisu e alterações indesejadas nas opções de cursos nos quais concorriam. Um fórum anônimo na internet mostra que internautas disseminaram dicas para "roubar" a senha de estudantes que se destacaram no Enem 2016 e manipular suas participações no Sisu, que usa a mesma senha.
Procurado pelo G1, o Ministério da Educação afirmou que o sistema do Sisu tem um nível de segurança elevado, onde qualquer ação realizada nos perfis pessoais são registradas em um histórico. Porém, a pasta ainda não confirmou se as denúncias de roubo de senha procedem. O G1 também procurou o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) para perguntar o motivo da flexibilização da segurança de acesso do Enem, mas ainda não recebeu retorno até a publicação desta reportagem.
Denúncias de invasão
Dois candidatos do Sisu ouvidos pelo G1 relataram ter tido suas senhas do Enem 2016 supostamente alteradas por terceiros.
O estudante Thales Maciel, de 21 anos, mora em Ribeirão Preto, em São Paulo, e foi aprovado no curso de medicina da Universidade Federal do Mato Grosso do Sul (UFMS). Porém, ele suspeita que foi hackeado, pois durante todo o período do Sisu teve problemas com a inscrição. “Todo dia em que eu tentava entrar no sistema não conseguia acessar e tinha de trocar a senha. Quando conseguia logar via que a minha segunda opção estava sempre mudada. Mexeram nas minhas escolhas todos os dias", afirmou ele ao G1. Em uma das vezes, inclusive, o candidato disse que estava inscrito na Universidade Federal de Goiás (UFG) como cotista, sendo que ele não está no perfil dos contemplados pela lei de cotas, já que fez o ensino médio em uma escola particular.
Thales disse que ficou monitorando o sistema nas últimas horas antes do seu encerramento, às 23h59 do domingo (29), para se certificar que a inscrição estava correta e não correr o risco de ser aprovado em um curso que não escolheu. Ele fez a denúncia ao Ministério da Educação e pretende registrar um boletim de ocorrência.
Tereza Gomes ganhou repercussão nacional quando descobriu ter sido uma das 77 pessoas que conseguiu nota mil na redação. Porém, como suas notas nas provas objetivas ficaram abaixo do esperado, a jovem da Paraíba acabou decepcionada no período de inscrições do Sisu. Após verificar a primeira nota de corte do sistema, ela viu que não passaria nas opções de cursos de medicina que tinha em mente. Portanto, desde sexta-feira (27) ela deixou de acessar seu perfil no Sisu. Ela disse ao G1 que manteve sua inscrição em duas opções de cursos de medicina, mesmo sabendo que não teria chance de ser aprovada.
A notícia de que seu perfil poderia ter sido invadido veio pelo Facebook no fim da manhã desta terça-feira (31), quando ela recebeu mensagens privadas informando que ela estava na lista de aprovados do curso de produção de cachaça, do Instituto Federal de Educação, Ciência e Tecnologia do Norte de Minas Gerais (IFNMG). Foi então que ela se lembrou de outra mensagem, enviada na noite de segunda-feira (30), de uma pessoa desconhecida, com uma imagem da lista de aprovados no curso do IFNMG. Ela diz que achou que fosse uma montagem e não deu atenção.
Em um teste, foi confirmado que a senha da estudante foi alterada. No fórum anônimo onde internautas combinaram tentativas de roubo de senha, a paraibana é uma das vítimas mencionadas. Tereza diz que já se matriculou em um novo cursinho, para tentar pela sexta vez conseguir a aprovação na graduação em medicina.
O caso gerou comentários pejorativos nas redes sociais sobre o curso de produção de cachaça e fez com que o IFNMG reagisse. Em seu perfil oficial no Facebook, o instituto reprovou a ação de hackers, mas também exigiu respeito a seu curso de produção de cachaça, oferecido na cidade mineira de Salinas e que, segundo o IFNMG, é o único do país oferecido por uma instituição pública. "Tanto os alunos quanto o curso Produção de Cachaça merecem o nosso respeito. Para quem não sabe, Salinas é uma cidade do Norte de Minas reconhecida mundialmente pela produção de cachaça, e o curso é o único do país oferecido por instituição pública na área. Quem tirou nota mil pode cursar o que quiser. Afinal, quem é nota mil terá sucesso em qualquer área. E a cachaça de Salinas é nota mil!"
Sistema de segurança 'fraco'
Especialista em segurança digital e colunista do G1, Altieres Rohr afirma que o sistema de segurança do Enem é "fraco" e possui falhas graves. "O sistema é, evidentemente, fraco. O CPF não é informação confidencial e todas as demais informações é possível descobrir no Facebook de muitos candidatos", diz ele.
"Ele também sofre de uma falha gravíssima", afirma Rohr. "Todos os dados necessários pra trocar a senha (CPF, nome da mãe, residência, nascimento) são 'fixos'. Uma vez que alguém consegue esses dados seus, a pessoa vai, para sempre, poder trocar sua senha. Ou seja, a pessoa está com a chave-mestra do seu login e você não pode fazer nada a respeito."
O especialista compara o acesso ao site do Enem com o de outros serviços. "Compare isso com um mecanismo que depende de confirmação por e-mail. Caso alguém roube sua conta de e-mail e consiga autorizar uma troca de senha, você pode, então, trocar a senha de acesso ao seu e-mail e bloquear o acesso do bandido. Dali em diante, você fica protegido. Já no Sisu, não há o que mudar, não há o que fazer."
Fórum anônimo explorou falha
Essa falha foi supostamente explorada por internautas, que se reuniram em um fórum anônimo para disseminar dicas de como roubar a senha de candidatos do Enem e alterar suas inscrições no Sisu. Na manhã desta terça-feira, as mensagens no fórum já haviam sido apagadas.
De acordo com o especialista Altieres Rohr, o fórum é uma espécie de "vale-tudo" criado nos mesmos moldes dos fóruns do 4chan (Estados Unidos). "Esse tipo de fórum é bastante permissivo quanto ao conteúdo e por isso se tornam lugares notórios para organizar trotes e 'zoação'. Eles não são exatamente hackers, mas muitos não são santos e fazem questão de possuir acesso a dados pessoais (ou fotos íntimas) com o intuito de realizar trotes ou assediar a pessoa/bullying. Depois, eles compartilham no fórum com os demais usuários para ridicularizar as vítimas publicamente."
Durante a "peça" que decidiram pregar nos estudantes, Rohr destaca que os internautas "mencionam o CadSUS para obter CPF. Outro termo comum empregado nos 'chans' brasileiros é o de 'Serasafag', que significa alguém que tem acesso ao Serasa. É comum um 'Serasafag' aparecer e divulgar dados de pessoas que outros participantes pedem. Normalmente fazem isso pra algum objetivo pessoal, trote, assédio etc. É algo que está sempre na margem do crime, do bom senso ou do bom gosto."
Edições anteriores tinham segunda camada de segurança
Na edição de 2015, além de informações pessoais, para recuperar ou solicitar uma nova senha de acesso ao site oficial do Enem, o candidato precisava inserir o número de celular ou o endereço de e-mail informados no ato da inscrição no Enem. Assim, a nova senha seria enviada para outro ambiente ao qual apenas o candidato tivesse acesso. Isso quer dizer que, para roubar a senha, seria preciso, além de obter informações pessoais, ter acesso ou ao aparelho de telefone do candidato, ou ao endereço e senha do e-mail usado na inscrição.
Rohr explica que, "no caso do Sisu, como é um sistema de uso nacional e com vários requisitos de acessibilidade plena, é bastante difícil de projetar um sistema com autenticação de dois passos".
Ele diz que é possível usar diversas informações para criar essa camada de segurança, inclusive celular, e-mail. "No fim, poderiam pedir o número da inscrição no Enem. Se a pessoa não tiver nada, aí ela perdeu a conta e precisa ser verificada pelo suporte, mas isso tem custo."
Fonte: G1
