USP admite falhas de segurança nas plataformas digitais e informa que resolveu o problema. Em 2020, Adusp questionou a Reitoria quanto à proteção dos dados

Por meio de curtíssima nota da Superintendência de Tecnologia da Informação (STI), a USP admitiu a existência de falhas nas plataformas digitais utilizadas para o ensino remoto, como Moodle e e-Disciplinas. O problema foi divulgado pelo site especializado Canaltech em 6/8 e objeto de nova reportagem nesta terça-feira (17/8). Em setembro de 2020, baseando-se na Lei Geral de Proteção de Dados (LGPD), a Adusp encaminhou uma série de questionamentos à Reitoria, inclusive sobre a segurança das plataformas digitais da universidade.

De acordo com Canaltech, duas brechas de segurança encontradas nas plataformas digitais da USP, “disponíveis em sistemas de acesso a serviços internos da universidade e em uma plataforma de ensino, com materiais como aulas gravadas e provas online”, “podem ter exposto os dados pessoais de até 188,6 mil pessoas, entre alunos, professores, funcionários e servidores”.

O caso mais grave estaria relacionado ao portal e-Disciplinas, no qual “estavam expostos dados pessoais como nomes, endereços completos e números de telefone de alunos”, além de informações de acesso. “Logins, senhas e detalhes da conta, como o IP do último acesso e a data de criação do perfil, poderiam ser acessados por atacantes a partir de uma técnica chamada SQL Injection, onde as informações inseridas em campos de consulta não são tratados e acabam retornando informações às quais o utilizador, em teoria, não deveria ter acesso”.

As brechas foram descobertas pelo pesquisador Giovanni Zadinello, proprietário de uma empresa de segurança digital, que as revelou ao Canaltech. O total de 188,6 mil pessoas vulneráveis corresponde ao número de usuários do sistema possuidores de login e senha.

Embora a USP não tenha respondido às perguntas que lhe foram encaminhadas pelo Canaltech em 6/8, a STI agiu de modo a eliminar as brechas existentes, como Zadinello constatou alguns dias depois. Além disso, a STI emitiu nota na qual admite a existência do problema: “A vulnerabilidade estava na integração do Moodle com algumas interfaces da USP e foi devidamente corrigida. Agradecemos muito [a]o site Canaltech pela informação”.

Questionamentos da Adusp quanto à proteção de dados foram encaminhados quase um ano atrás

No dia 2 de setembro de 2020, a Adusp encaminhou à Reitoria uma série de questionamentos sobre as plataformas utilizadas no ensino remoto emergencial e sobre os sistemas de coleta de dados e de mensageria empregados pela USP. A Reitoria dispensou aos questionamentos um tratamento totalmente burocrático, indicando à Adusp que procurasse o Serviço de Informações ao Cidadão (SIC).

A Adusp indagou à Reitoria e posteriormente ao SIC se há “avisos sobre a política de privacidade e proteção de dados e possibilidade de opção op out, com uso do serviço mesmo em desacordo de alguma cláusula” (item 5) e qual “o teor integral da política de privacidade e proteção de dados da empresa operadora/prestadora do serviço” (item 6).

Especificamente no caso dos e-mails funcionais, questionou se “a caixa postal dos professores, técnicos e estudantes da USP é administrada por alguma empresa privada; se os servidores de e-mail da universidade estão hospedados nas dependências da USP ou em servidores de empresas privadas; em não sendo na USP, onde e com quais protocolos de segurança” (item 8).

Quanto à coleta de dados, tipo de tratamento e armazenamento a Adusp questionou, entre vários tópicos, se a universidade “possui o levantamento de quais tipos de dados e concernentes a quais titulares são coletados e tratados no processo de aulas virtuais, de troca de e-mails e outros, se houver; se sim, quais são” (9) e quais são “os protocolos de segurança de informação usados pelo sistema e pelo servidor do controlador e do operador do tratamento de dados pessoais” (13).

Ainda neste campo, indagou, no item 20, “como é feito o processo de tratamento de dados pessoais que podem gerar riscos aos titulares e que possam impor restrições não previstas em lei aos usuários de serviços públicos, conforme previsto na LGPD e decorrente do sistema normativo protetor dos consumidores e dos usuários de serviços públicos”. Também questionou, no item 23, se há “análise sobre o impacto financeiro de eventuais falhas e vazamentos na atividade de troca de informações e armazenamento de dados, considerando como potencialmente afetados os membros da comunidade acadêmica e o desenvolvimento científico do país”.

O SIC só respondeu à Adusp em 14 de janeiro de 2021. Embora tenha fornecido alguns dados relevantes, a resposta a diversos dos questionamentos foi insuficiente.

Ao responder à pergunta 27, “Como é feita a anonimização dos dados pessoais”, o SIC declarou o seguinte: “Dado [sic] a relevância, o impacto e a abrangência da nova Lei Geral de Proteção de Dados, a Universidade, já há tempo preocupada com o tema, está envidando esforços em diversos sentidos visando adequar-se à nova realidade. Entre outras medidas, está em andamento a criação da Agência USP de Proteção e Divulgação de Dados (AUPD). Um Grupo de Trabalho foi criado pela Portaria do Reitor (430) de 10-12-2020, publicada no D.O. em 11/12/2020. Desta forma, os questionamentos de 9 a 27 deverão ser submetidos à Agência para análise detalhada”.