Colégio Bandeirantes (Mirabile/Wikimedia Commons)
A Folha de São Paulo divulgou reportagem no dia 19 deste mês sobre um aluno do tradicional Colégio Bandeirantes, em São Paulo que divulgou um vídeo via WhatsApp com instruções para acessar informações confidenciais da escola, como as fichas dos alunos. Nestes documentos haviam comentários sobre a vida dos estudantes, tais como: “Aluna perdeu a mãe em junho de 2007. É filha adotiva e talvez não saiba disso” e outros mais subjetivos como “Tem olheiras, boca de ódio, tem cara de criança de filme de suspense”.
O caso se alastrou pelas redes sociais e no dia seguinte o colégio publicou nota com um pedido de desculpas. Em outra reportagem da Folha, a escola reconheceu que seu ambiente possuía falhas e também informou que o aluno envolvido no caso seria suspenso por oito dias.
Tradicionalmente conhecido como um colégio de elite, a escola paulista que cobra algo em torno de R$ 3 mil de mensalidade possui um ambiente alinhado com as tendências do mercado de tecnologia. Conforme divulgou o portal Convergência Digital, em sua coluna sobre Cloud Computing, o colégio investiu na migração de sua plataforma para a nuvem Azure da Microsoft, na qual professores e alunos usam as ferramentas One Drive e Ofice 365.
Trecho das fichas dos alunos (Foto:Reprodução / G1)
O portal G1 teve acesso ao ambiente mencionado pelo aluno suspenso e como é possível verificar na figura, divulgada pelo site em reportagem sobre o tema, os dados estavam no ambiente na nuvem da Microsoft, com URL https://officeapps.live.com.
Embora o vídeo do aluno não tenha sido divulgado pela mídia (o que é compreensível) e a própria escola esteja tomando medidas judiciais para removê-lo da Internet, a reportagem do UOL apurou que as informações estavam disponíveis para qualquer pessoa com uma credencial de acesso válida ao ambiente. Desta maneira, pensar que o acesso a estas informações se dava por conta da exploração de vulnerabilidades de software ou alguma outra técnica mais sofisticada pode ser um equívoco. É mais provável que o aluno somente sabia onde encontrar informações que não possuíam proteção.
Muito do que se falou nas redes sociais sobre o tema tinha relação com os comentários não tão pedagógicos dos professores e da atitude do aluno em divulgar a suposta técnica de acesso, o que segundo a opinião muitas pessoas (e da própria instituição) não seria um comportamento ético.
Entretanto, é necessário também dedicar algum esforço de reflexão para o papel das áreas de tecnologia e administrativa da escola nesse episódio. Um colégio desse porte e com esse nível maturidade no uso de tecnologia precisa manter processos constantes de classificação da informação e aplicar métodos de controle de acesso eficientes no seu ambiente.
O que este caso nos ensina é que a dicotomia mocinho vs bandido tende a se tornar cada vez mais difícil em incidentes de segurança da informação. Pois nesse caso do colégio é possível identificar erros no comportamento dos professores, do aluno e também da gestão de segurança da informação na escola.
Se é necessário manter registro de uma informação tão delicada como o fato de uma criança ser adotada e não saber disso, pior que um aluno divulgar o “caminho das pedras” para chegar até ela é o dado estar disponível sem mecanismos de proteção.
Linha Defensiva 
Bom post! Vejo processos dos pais nessa escola!
CurtirCurtir