Colégio Bandeirantes (Mirabile/Wikimedia Commons)

Colégio Bandeirantes (Mirabile/Wikimedia Commons)

A Folha de São Paulo divulgou reportagem no dia 19 deste mês sobre um aluno do tradicional Colégio Bandeirantes, em São Paulo que divulgou um vídeo via WhatsApp com instruções para acessar informações confidenciais da escola, como as fichas dos alunos. Nestes documentos haviam comentários sobre a vida dos estudantes, tais como: “Aluna perdeu a mãe em junho de 2007. É filha adotiva e talvez não saiba disso” e outros mais subjetivos como “Tem olheiras, boca de ódio, tem cara de criança de filme de suspense”.

O caso se alastrou pelas redes sociais e no dia seguinte o colégio publicou nota com um pedido de desculpas. Em outra reportagem da Folha, a escola reconheceu que seu ambiente possuía falhas e também informou que o aluno envolvido no caso seria suspenso por oito dias.

Tradicionalmente conhecido como um colégio de elite, a escola paulista que cobra algo em torno de R$ 3 mil de mensalidade possui um ambiente alinhado com as tendências do mercado de tecnologia. Conforme divulgou o portal Convergência Digital, em sua coluna sobre Cloud Computing, o colégio investiu na migração de sua plataforma para a nuvem Azure da Microsoft, na qual professores e alunos usam as ferramentas One Drive e Ofice 365.

fichas2

Trecho das fichas dos alunos (Foto:Reprodução / G1)

O portal G1 teve acesso ao ambiente mencionado pelo aluno suspenso e como é possível verificar na figura, divulgada pelo site em reportagem sobre o tema, os dados estavam no ambiente na nuvem da Microsoft, com URL https://officeapps.live.com.

Embora o vídeo do aluno não tenha sido divulgado pela mídia (o que é compreensível) e a própria escola esteja tomando medidas judiciais para removê-lo da Internet, a reportagem do UOL apurou que as informações estavam disponíveis para qualquer pessoa com uma credencial de acesso válida ao ambiente. Desta maneira, pensar que o acesso a estas informações se dava por conta da exploração de vulnerabilidades de software ou alguma outra técnica mais sofisticada pode ser um equívoco. É mais provável que o aluno somente sabia onde encontrar informações que não possuíam  proteção.

Muito do que se falou nas redes sociais sobre o tema tinha relação com os comentários não tão pedagógicos dos professores e da atitude do aluno em divulgar a suposta técnica de acesso, o que segundo a opinião muitas pessoas (e da própria instituição) não seria um comportamento ético.

Entretanto, é necessário também dedicar algum esforço de reflexão para o papel das áreas de tecnologia e administrativa da escola nesse episódio. Um colégio desse porte e com esse nível maturidade no uso de tecnologia precisa manter processos constantes de classificação da informação e aplicar métodos de controle de acesso eficientes no seu ambiente.

O que este caso nos ensina é que a dicotomia mocinho vs bandido tende a se tornar cada vez mais difícil em incidentes de segurança da informação. Pois nesse caso do colégio é possível identificar erros no comportamento dos professores, do aluno e também da gestão de segurança da informação na escola.

Se é necessário manter registro de uma informação tão delicada como o fato de uma criança ser adotada e não saber disso, pior que um aluno divulgar o “caminho das pedras” para chegar até ela é o dado estar disponível sem mecanismos de proteção.

Anúncios

Escrito por kbralx

Profissional com vinte anos de experiência na área de tecnologia, sendo que os últimos onze dedicados à segurança da informação, atuando em empresas de serviços, telecomunicações e do mercado de cartões. Presta consultoria a lojistas espalhados pelo Brasil na proteção de seus ambientes interagindo com as mais variadas plataformas tecnológicas e realidades regionais. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia pela Fundação Escola de Sociologia e Política de São Paulo. Organizou o livro "Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados" em parceria com Willian Caprino e faz parte do staff da conferencia de segurança You sh0t the Sheriff.

1 comentário

  1. Bom post! Vejo processos dos pais nessa escola!

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.