A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta segunda a aplicação de quatro advertências à Secretaria de Educação do Distrito Federal, por conta de uma falha de segurança que permitiu acesso a dados pessoais de 1 milhão de estudantes da rede pública em 2021.
A falha, no sistema I-Educar, permitia acesso simples a nome, data de nascimento, CPF, registro de inscrição, sexo, endereço, escolaridade e se o aluno tinha alguma deficiência.
O desenho do sistema era falho uma vez que adotava URLs com o número do registro de cada aluno (internet.php?cod_candidato=0000001, por exemplo), dando acesso a todas as informações apenas com a alteração desse número.
“As URLs possibilitavam a edição da troca do código do candidato na descrição das próprias URLs e, com esse procedimento, eram expostos dados pessoais”, reconheceu o governo do DF, à época.
A ANPD aplicou advertências à secretaria de educação por identificar falhas no registro das operações e no relatório de impacto à proteção de dados, bem como na comunicação do incidente de segurança à própria Autoridade e aos afetados. Finalmente, uma última advertência envolve a falta de colaboração da SEEDF com a apuração da ANPD.
