{"id":12037,"date":"2019-07-17T01:48:23","date_gmt":"2019-07-17T04:48:23","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12037"},"modified":"2020-11-16T12:30:59","modified_gmt":"2020-11-16T15:30:59","slug":"school-hacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/school-hacking\/12037\/","title":{"rendered":"O mercado paralelo de certificados acad\u00eamicos"},"content":{"rendered":"

As avalia\u00e7\u00f5es de conclus\u00e3o de curso n\u00e3o foram como o planejado? Isso pode acontecer com qualquer um. Muitos daqueles que tiveram notas baixas tentar\u00e3o refaz\u00ea-las, ou mudar\u00e3o sua meta. Mas, em alguns casos, os alunos podem optar pela trapa\u00e7a para alcan\u00e7ar bons resultados.<\/p>\n

Ao longo dos anos, surgiu uma ind\u00fastria clandestina que explora usu\u00e1rios com esse tipo de oportunismo, contando com f\u00f3runs de discuss\u00e3o e v\u00eddeos tutoriais sobre como hackear<\/strong> o sistema de uma escola para falsificar certificados e diplomas para vender no mercado paralelo. Por isso, decidimos investigar e ver o que as escolas e universidades podem fazer para protegerem a si e seus alunos dos cibercriminosos<\/strong>.<\/p>\n

Acessando as notas<\/h2>\n

Muitas escolas introduziram plataformas de informa\u00e7\u00e3o online para atividades escolares, trabalhos de casa, avalia\u00e7\u00f5es, comunica\u00e7\u00e3o entre pais e professores, etc. Algumas fun\u00e7\u00f5es est\u00e3o abertas para a Internet e muitos desses sistemas, incluindo alguns dos mais usados, s\u00e3o frequentemente vulner\u00e1veis \u200b\u200ba ataques cibern\u00e9ticos.<\/p>\n

Uma das plataformas de informa\u00e7\u00e3o para as escolas mais populares \u00e9 a PowerSchool, conhecida por ter uma vulnerabilidade (CVE-2007-1044<\/a>) que possibilitaria que um cibercriminosos listasse o conte\u00fado do administrador da pasta mediante a um URL manipulado. O impacto dessa vulnerabilidade <\/a><\/strong>depende das configura\u00e7\u00f5es do servidor web e das pastas que ele possui.<\/p>\n

No entanto, as vulnerabilidades e exploits como esta n\u00e3o permite que o cibercriminoso ignore os privil\u00e9gios de administrador ou de autentica\u00e7\u00e3o para acessar essas informa\u00e7\u00f5es como as notas dos alunos. Para isso, h\u00e1 uma maneira mais f\u00e1cil de se proteger: use as credenciais da conta.<\/p>\n

O gateway do PowerSchool, como o de muitas outras plataformas, \u00e9 protegido apenas por usu\u00e1rio e senha.
\n\"P\u00e1ginasEm mar\u00e7o<\/a> de 2019, alguns estudantes foram acusados \u200b\u200bde hackear o PowerSchool, com intuito de mudar suas notas e melhorar seus registros de presen\u00e7a. E como os usu\u00e1rios usam os mesmos acessos em sites diferentes, \u00e9 muito prov\u00e1vel que esses portais estejam sendo invadidos por meio de informa\u00e7\u00f5es roubadas ou reutilizadas. Estas contas podem ser obtidas por m\u00e9todos diferentes, desde um lembrete no teclado do professor teclado com os dados, a um hacker de verdade<\/a> ou credenciais compiladas<\/a> da rede da faculdade ou universidade. Outro caminho que os alunos com esses objetivos podem optar, \u00e9 contratar um hacker<\/strong> para cuidar do servi\u00e7o sujo.<\/p>\n

A invas\u00e3o de servi\u00e7os e falsifica\u00e7\u00e3o de diplomas no mercado clandestino<\/h3>\n

Uma pesquisa online realizada em 12 de junho nos direcionou a uma oferta para hackear servi\u00e7os<\/strong> e obter certificados, diplomas e notas falsas de diferentes institui\u00e7\u00f5es que parecem aut\u00eanticos. O processo \u00e9 claro e simples: tem um formul\u00e1rio de solicita\u00e7\u00e3o e informa\u00e7\u00f5es de contato.
\n\"Mercado<\/p>\n

Melhorar a seguran\u00e7a na educa\u00e7\u00e3o<\/h3>\n

Ent\u00e3o, o que escolas, universidades e empresas que procuram novos talentos com notas impec\u00e1veis \u200b\u200bpodem fazer para ter certeza de que o que est\u00e3o vendo \u00e9 real?<\/p>\n

Quando se trata de certificados e diplomas, as organiza\u00e7\u00f5es devem verificar sua autenticidade com a institui\u00e7\u00e3o que o emitiu. Se n\u00e3o houver registro de que o aluno obteve uma qualifica\u00e7\u00e3o, \u00e9 prov\u00e1vel que seja falso.<\/p>\n

No caso de sistemas de informa\u00e7\u00e3o baseados na web, uma s\u00e9rie de medidas de seguran\u00e7a online <\/strong>b\u00e1sicas seria suficiente proteger funcion\u00e1rios, alunos e dados:<\/p>\n