Dois irmãos versados em tecnologias da informação descobriram falhas graves no sistema TIC do National Student Financial Aid Scheme, expondo potencialmente detalhes pessoais de milhões de estudantes, incluindo contas bancárias, a golpistas. As vulnerabilidades permitiam acesso a mensagens sensíveis, PINs de uso único e até funções administrativas como alteração de financiamentos. A NSFAS corrigiu as questões mais críticas desde que foi alertada.
Connor Bettridge, estudante de ciência da computação no Varsity College em Cidade do Cabo, deparou-se com os problemas ao ajudar em uma solicitação de financiamento NSFAS. Ele acessou a página de comunicação do portal e visualizou endereços, gênero, renda e detalhes bancários dos estudantes. Seu irmão mais velho, Jordan Bettridge, que trabalha em tecnologia de seguros, investigou mais a fundo.
Jordan descreveu como o sistema permitia que qualquer pessoa acessasse todos os SMS e e-mails enviados pela NSFAS desde 2022, incluindo PINs de uso único e informações pessoais de entre meio milhão e um milhão de solicitantes. 'Não foi difícil de jeito nenhum. Você poderia escrever um script em 20 minutos que literalmente puxa todos os SMS e e-mails', disse ele. Ao examinar o código do site, Jordan encontrou endpoints de API não seguros para o painel administrativo, permitindo ações como rejeitar pedidos de financiamento, alterar detalhes bancários ou retirar financiamentos ativos.
Essas falhas se somam aos problemas contínuos de TIC da NSFAS, incluindo atrasos em pagamentos e processos manuais que causaram dificuldades aos estudantes. Em 2024, o ex-administrador Freeman Nomvalo alertou um comitê parlamentar de que os sistemas eram vulneráveis a ciberataques, destacando riscos às informações dos estudantes.
Jordan destacou consequências potenciais: fraudadores poderiam redirecionar financiamentos para suas próprias contas ou vender dados vazados na dark web. Os irmãos primeiro tentaram contatar a NSFAS diretamente, mas não receberam resposta. Em seguida, entraram em contato via MyBroadband, alertando a equipe de mídia e o CEO interino Waseem Carrim, que confirmou que as questões foram resolvidas.
A NSFAS emitiu uma declaração reconhecendo que usuários logados podiam visualizar todas as mensagens geradas pelo sistema, incluindo OTPs, e que certos endpoints de API eram inseguros, permitindo ações administrativas como retirada de recursos. 'A NSFAS tomou conhecimento de uma fraqueza de segurança potencial e ativou imediatamente seus protocolos de segurança da informação e gerenciamento de incidentes', dizia o texto. A agência fortaleceu os controles de acesso e aprimorou o monitoramento, mas não abordou a responsabilidade pela configuração do sistema.
Este incidente ecoa um caso de 2024 em que estudantes da Universidade de Stellenbosch expuseram vulnerabilidades de fraude no sistema de subsídios SASSA, provocando uma investigação parlamentar.
