Falhas nos sistemas da Universidade Estácio de Sá permitiam acesso indevido a dados e até o possível sequestro de contas de alunos. As vulnerabilidades foram denunciadas anonimamente ao TecMundo por um pesquisador e hacker ético no mês de janeiro.
Segundo a instituição, os problemas já foram corrigidos e não houve incidente cibernético nem vazamento de dados.
A reportagem é de Adriano Camacho, publicada em 24 de fevereiro de 2026.
🧠 Como o caso começou
O pesquisador, ex-aluno da instituição (identificado como “José”), passou a receber:
- Mensagens de texto
- Ligações
- E-mails
Todos em nome da Estácio, contendo CPF, número de matrícula e valor exato de dívida.
Embora não seja possível afirmar que houve vazamento, a precisão das informações levantou suspeitas. Isso motivou a investigação.
🚨 Quais eram as falhas?
O relatório aponta duas vulnerabilidades principais no chamado “Portal Recupera Estácio”.
1️⃣ Consulta indevida de CPFs (IDOR)
Uma falha permitia consultar CPFs de terceiros, dependendo do fluxo utilizado no sistema.
Esse tipo de problema é conhecido como Referência Direta Insegura a Objetos (IDOR) — quando o sistema não valida corretamente se o usuário tem permissão para acessar determinado recurso.
Em tese, invasores poderiam acessar:
- Dados pessoais
- Informações financeiras
- Funções administrativas
O pesquisador afirma que não explorou a falha nem coletou dados, pois isso configuraria acesso indevido sem autorização.
2️⃣ Token de autenticação exposto (Account Takeover)
A segunda vulnerabilidade foi considerada ainda mais grave.
Um subdomínio do portal estava indexado no Google com um token de autenticação exposto. Ao acessar o link, era possível entrar no sistema sem necessidade de senha.
Esse cenário permitiria o chamado “Account Takeover” (sequestro de contas) — assumindo o controle de perfis de usuários sem que eles percebessem.
Segundo o pesquisador, a identificação ocorreu por meio de:
- Enumeração de domínios
- Google Dorking
- Técnicas passivas de reconhecimento
Nada invasivo ou sofisticado.
⚠️ Quais seriam os riscos?
Se exploradas por criminosos, as falhas poderiam permitir acesso a:
- Documentos pessoais
- Histórico acadêmico
- Endereço
- Informações financeiras
- Dados de contato
Com esses dados, golpistas poderiam montar ataques de spear-phishing (phishing direcionado), usando informações reais para aumentar a credibilidade da fraude.
Exemplo:
“Identificamos uma pendência no valor X referente ao curso Y…”
Esse tipo de golpe costuma ter taxa de sucesso maior por parecer legítimo.
🏛️ O posicionamento da Estácio
Em nota, a instituição declarou que:
- Opera conforme as melhores práticas de segurança
- Está em conformidade com a Lei Geral de Proteção de Dados
- Mantém monitoramento contínuo
- Corrigiu as falhas identificadas
- Não há evidência de comprometimento ou vazamento de dados
A Estácio também afirmou que eventuais divulgações sobre o caso são de sua competência exclusiva.
O pesquisador, por sua vez, declarou que não pode confirmar tecnicamente se o risco foi eliminado por completo, já que não teve autorização para validar as correções.
🛡️ Como se proteger
Mesmo sem confirmação de vazamento, especialistas recomendam:
✔ Ativar autenticação em dois fatores (2FA)
✔ Usar senhas fortes e únicas para cada serviço
✔ Desconfiar de cobranças por telefone, SMS ou e-mail
✔ Confirmar solicitações diretamente nos canais oficiais
✔ Monitorar extratos e históricos de acesso
Golpes personalizados usam dados reais para parecer legítimos.
A melhor defesa continua sendo prevenção e verificação.