Calma. Respira. Não é episódio novo de Black Mirror.
Mas quase virou.
Os sistemas da Universidade Estácio de Sá apresentavam falhas que permitiam acesso indevido e até “sequestro” de contas. Segundo denúncia anônima enviada ao TecMundo, os problemas foram corrigidos — e a Estácio afirma que não houve incidente cibernético ou vazamento de dados.
A denúncia foi feita por um pesquisador e hacker ético (ex-aluno), após ele começar a receber tentativas de golpe com CPF, número de matrícula e até valor exato de dívida.
Sim. Bem específico demais pra ser coincidência confortável.
🧠 Como tudo começou
O pesquisador — chamado na matéria de “José” — passou a receber:
- Mensagens de texto
- Ligações
- E-mails
Todos supostamente “em nome da Estácio”, com dados pessoais corretos.
Ele afirma que não é possível associar diretamente os contatos a um vazamento, mas a suspeita foi suficiente para investigar.
Spoiler: ele encontrou problemas.
🚨 Quais eram as falhas?
Segundo o relatório técnico, havia dois problemas principais no chamado “Portal Recupera Estácio”.
1️⃣ Consulta indevida de CPFs (IDOR)
Uma vulnerabilidade permitia consultar CPFs de terceiros dependendo do fluxo utilizado.
Tecnicamente, isso é chamado de Referência Direta Insegura a Objetos (IDOR) — quando o sistema não valida corretamente quem pode acessar determinada informação.
Na prática?
Alguém poderia tentar acessar dados sensíveis de alunos ou funcionários.
O pesquisador reforça que não explorou a falha nem coletou dados, justamente para não ultrapassar os limites do hacking ético.
2️⃣ Token de acesso exposto (Account Takeover)
A segunda falha foi considerada ainda mais grave.
Um subdomínio do portal estava indexado no Google com token de autenticação exposto.
Tradução direta:
Era possível acessar sistemas sem precisar de senha.
Essa vulnerabilidade poderia permitir o chamado “Account Takeover” (Sequestro de Conta) — ou seja, assumir o controle de uma conta sem que a vítima percebesse.
E não, não foi usado nenhum método “super hacker”.
🧪 Como as falhas foram encontradas?
Segundo o pesquisador:
- Apenas técnicas passivas
- Enumeração de domínios
- Google Dorking
Ou seja: pesquisa estruturada e análise básica de exposição pública.
Nada de invasão sofisticada.
Nada de filme da Netflix.
Só investigação técnica bem feita.
Ele não testou toda a extensão da falha para não ultrapassar os limites legais.
💣 Quais seriam os riscos?
Se exploradas por um criminoso, as falhas poderiam resultar em:
- Acesso a documentos pessoais
- Histórico acadêmico
- Informações financeiras
- Endereço
- Dados de contato
Com isso, seria possível montar golpes altamente personalizados.
Um exemplo citado é o spear-phishing (phishing direcionado), que usa dados reais da vítima para parecer legítimo.
Diferente do “Olá, você ganhou um prêmio”, aqui seria:
“Olá, identificamos pendência no valor X referente ao seu curso Y…”
Muito mais convincente.
🏛️ O posicionamento da Estácio
Após ser questionada, a Estácio informou que:
- As falhas foram corrigidas
- Opera conforme boas práticas de segurança
- Está em conformidade com a Lei Geral de Proteção de Dados
- Não há evidência de comprometimento ou vazamento de dados
O comunicado afirma ainda que há monitoramento contínuo e tratamento imediato de pontos de melhoria.
O pesquisador declarou que, sem validação independente, não pode afirmar tecnicamente que o risco foi eliminado por completo — apenas que as correções foram informadas.
🛡️ Como se proteger (porque confiar é ótimo, mas 2FA é melhor)
Mesmo quando não há confirmação de vazamento, vale reforçar:
✔ Ative autenticação em dois fatores (2FA)
✔ Desconfie de mensagens mesmo que tenham seus dados corretos
✔ Use senhas fortes e diferentes em cada serviço
✔ Monitore extratos e histórico de acesso
✔ Não compartilhe códigos ou documentos por SMS ou telefone
Golpista adora contexto.
Não entregue ele pronto.
🎯 Resumo final (sem pânico, mas com atenção)
- Foram identificadas duas vulnerabilidades
- Poderiam permitir acesso indevido e sequestro de contas
- A Estácio afirma que corrigiu os problemas
- Nega qualquer vazamento
- Não há confirmação de exploração criminosa
Conclusão?
Não é hora de surtar.
Mas é sempre hora de melhorar sua segurança digital.
Porque se tem uma coisa que universitário não precisa é boleto + golpe ao mesmo tempo.