Enem 2017 vai ter sistema de recuperação de senhas mais seguro

O Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep) vai reforçar a segurança de acesso ao sistema do Exame Nacional do Ensino Médio (Enem). Em entrevista ao G1, Camilo Mussi, diretor de Tecnologia e Disseminação de Informações Educacionais do Inep, afirmou que a área ainda estuda detalhes sobre o redesenho do sistema, mas que já foi definido que ele terá uma camada extra de segurança. "Com certeza não será esse sistema que está hoje", afirmou Mussi.

O sistema atual de acesso individual às páginas de cada candidato do Enem tem um mecanismo de recuperação de senha apontado como falho por especialistas em segurança digital. Para que alguém consiga redefinir a senha e, por consequência, ter acesso ao perfil pessoal do candidato no site do Enem, do Sistema de Seleção Unificada (Sisu) e do Programa Universidade para Todos (Prouni), basta que ele tenha acesso a alguns dados pessoais do candidato, como seu CPF, o nome da mãe e a data de nascimento. A brecha foi supostamente explorada por internautas em um fórum anônimo, que disseminaram dicas para "furtar" a senha de candidatos do Sisu que se destacaram no Enem 2016.

"Nós estamos estudando várias opções, uma delas é colocar o sistema de enviar o e-mail a senha, provisória ou definitiva, estamos pensando. Ou de enviar por SMS também. Estamos estudando, ainda não definimos definitivamente. Ou vai ter e-mail, ou vai ter por SMS cadastrado", afirmou Mussi. Segundo ele, as definições de segurança poderão ser atualizadas até maio, quando o sistema for ao ar para as inscrições da edição 2017 do Enem. "Para 2017 nós seguiremos as melhores práticas de segurança da informação."

Segundo ele, o novo sistema de segurança também não deve ser o mesmo da edição 2015 do Enem. Mussi diz que, embora o sistema da edição 2015 tivesse a função de encaminhar uma nova senha por e-mail, ele também apresentava uma brecha, já que o usuário podia escolher um e-mail de destino diferente do que foi cadastrado no ato da inscrição.

No Enem 2016, o diretor de Tecnologia do Inep diz que o sistema de recuperação de senha perdeu essa função quando as inscrições foram abertas, em 9 de maio. A gestão atual do Inep só tomou posse no fim de maio, quando as inscrições já haviam sido encerradas. Para não provocar confusão nos candidatos, Mussi diz que o Inep decidiu manter o mesmo sistema de segurança até o fim da edição do exame. "É um sistema muito grande, que envolve muita gente, 8 milhões de participantes, pessoas de todos os níveis culturais, todos os níveis de formação intelectual, formal ou não."

Sistema de segurança 'falho'
Especialista em segurança digital e colunista do G1, Altieres Rohr afirma que o sistema de segurança do Enem é "fraco" e possui falhas graves. "O sistema é, evidentemente, fraco. O CPF não é informação confidencial e todas as demais informações é possível descobrir no Facebook de muitos candidatos", diz ele. "Ele também sofre de uma falha gravíssima", afirma Rohr. "Todos os dados necessários para trocar a senha (CPF, nome da mãe, residência, nascimento) são 'fixos'. Uma vez que alguém consegue esses dados seus, a pessoa vai, para sempre, poder trocar sua senha. Ou seja, a pessoa está com a chave-mestra do seu login e você não pode fazer nada a respeito."

Denúncias de acesso indevido
Na semana passada, informações divulgadas pelo MEC mostram detalhes sobre as trocas de senha no perfil de cinco candidatos do Enem 2016. Eles denunciaram atividades suspeitas e "furto" de senhas por parte de terceiros, além de afirmarem que, com a nova senha, seus perfis no Sistema de Seleção Unificada (Sisu) foram invadidos, e suas inscrições foram alteradas sem consentimento. Uma sexta candidata, do Distrito Federal, afirma que sua nota na prova de redação foi alterada entre a primeira e a segunda vez em que ela acessou o site do Enem, e que, depois, sua senha foi trocada. Por isso, ela não conseguiu acessar o Sisu, e não pode se inscrever.

Dos outros cinco casos de candidatos inscritos no Sisu, dois tiveram consequências prejudiciais, quando as candidatas descobriram a suposta invasão só após o fim das inscrições, e viram que acabaram fora da disputa dos cursos que desejavam. Em dois casos, os candidatos perceberam a troca indevida e conseguiram garantir que a inscrição validada no fim do prazo do Sisu estivesse correta. No quinto caso, a estudante já havia desistido de disputar vagas no Sisu deste ano, ao ver que sua nota não era suficiente para garantir uma aprovação em um curso de medicina (leia mais sobre cada caso).

Nesta segunda-feira (6), o ministro de Educação, Mendonça Filho, negou que o site do Sisu tenha sido invadido por hackers. Após o resultado do Sisu, seis candidatos denunciaram ao G1 terem tido suas senhas do Enem "furtadas", e cinco deles disseram que suas inscrições no Sisu foram alteradas indevidamente.

Segundo ele, "o sistema do MEC não foi violado em momento algum. Se, por ventura, há alguma vulnerabilidade em relação a algum usuário específico, eu diria que isso é passível de qualquer sistema. Você sabe, como pessoa esclarecida que até cartão de crédito, às vezes uma senha mal utilizada pode ser utilizada por terceiros. Então, você precisa ter cuidado para que os seus dados, a sua senha não seja utilizado por quem quer que seja."