Um aluno da Universidade Federal da Paraíba (UFPB) usou o sistema de estudantes, servidores e professores da instituição, o Sigaa, para enviar uma mensagem de Natal. No entanto, Joandeson Mateus, estudante de Ciências da Computação, foi mais inusitado. Na página do sistema onde consta a mensagem, o estudante mudou o layout, com direito a música natalina em ritmo de funk, flocos de neve e um box com “amo você”.
Os estudantes e professores receberam a mensagem por volta das 3h da madrugada da quarta-feira (2. Joandeson explicou que queria fazer uma surpresa para todos do Sigaa. “Vendo que os colegas de universidade estão muito tensos por causa da faculdade, achei legal desejar um feliz natal, e um eu te amo, pois sempre é bom receber um eu te amo de coração”, disse o aluno.
O assessor de comunicação da UFPB, Marcus Alves, confirmou a invasão no sistema, mas garantiu que não houve acesso aos dados dos usuários. O superintendente de tecnologia da informação (STI) da UFPB, Hermes Pessoa, explicou que a ferramenta utilizada pelo aluno está disponível para qualquer usuário que fizer o login.
O estudante conta que precisou utilizar uma ferramenta para automatizar o processo de envio dos emails para todos os usuários. “Eu usei informações públicas disponibilizadas no próprio Sigaa e também usei funções do sistema”, detalhou.
Para começar o envio da mensagem, trabalho que durou uma semana, o estudante buscou os perfis de departamentos e cursos, em seguida identificou os nomes de todos os alunos ativos no sistema, buscou o ID de cada um e, através da ferramenta que ele chamou de OpSigaaLove, enviou os emails de uma só vez.
Um outro motivo para o envio da mensagem no sistema era buscar uma forma eficiente para divulgação de um aplicativo que Joandeson está desenvolvendo. O aplicativo é uma forma de enviar as informações aos usuários do Sigaa através de uma notificação, não um email.
Para o tema natalino, com direito a música e flocos de neve, o superintendente de STI da UFPB, explica que o aluno editou o envio da mensagem e colocou o código HTML que reproduziu a animação que ele queria. “Bonito, de bom gosto até”, brincou. No entanto, enfatizou que nada disso afetou a segurança do sistema.
Joandeson Mateus explicou tudo que precisou fazer para implantar o tema natalino. “Usei uma técnica chamada XSS, onde eu posso injetar código dentro de uma página. Consegui injetar um código que faz nevar, uma música de natal e um papel de parede”, disse.
A brincadeira deu certo e chegou a todos os usuários do sistema da UFPB. Joandeson tem 20 anos, entrou esse ano na universidade e já é conhecido por muita gente de todos os campus da instituição. “Não foi um infração à regra de segurança”, esclareceu Hermes Pessoa.