Que o Google é uma ferramenta incrível isso ninguém pode negar, hoje em dia seria quase impossível viver sem as facilidades que a empresa oferece para as pessoas, antigamente se você criava um site novo, era preciso inserir esse site em uma espécie de Páginas Amarelas de sites, com isso você colocava seu site no banco de dados para que ele fosse encontrado posteriormente, com o Google a coisa mudou, agora você não precisa mais ficar inserindo sites em Páginas Amarelas, o Google já faz diariamente uma indexação de todos os sites que existem e que são colocados no ar todos os dias. Porém, nem tudo são flores, todo esse poder do Bot do Google também pode indexar coisas que inicialmente não eram para serem indexadas, como é o caso de dados confidências.

Fazendo uma pesquisa simples, percebi que o site da Faculdade Estácio de Sá usa muitas variáveis pelo método GET (variáveis passadas pela URL), sempre que vejo esse tipo de coisa eu acho um tanto quanto perigoso, se o site foi feito em ASP o perigo aumenta mais ainda.

Analizando as imagens abaixo, podemos verificar que existe um problema de acesso na parte do Portal do Estudante no site da faculdade, usando simples dorks é possível ter acesso aos dados confidencias dos alunos, saber sobre mensalidades pagas, FIES e outros dados.

Se você não sabe, dorks são simplesmente palavras reservadas que usamos para fazer buscas mais direcionadas e refinadas no Google, por exemplo, se você quiser achar apenas arquivos em PDF sobre Crimes virtuais em sites do governo, você poderia usar a seguinte dork:
filetype:pdf intext:crimes virtuais site:gov.br
Se achou interessante, veja no site do Exploit-DB, lá existem um banco de dados com algumas centenas de dorks.

faculdade_estacio_001
faculdade_estacio_002
Isso é possível simplesmente porque o Google faz a indexação dessas URL’s, permitindo assim que qualquer pessoa tenha acesso aos dados pessoais dos alunos, o fato da aplicação ficar passando dados pelo método GET também contribui massivamente para que isso aconteça. Uma forma de resolver esse problema é colocar instruções dentro do HTML para que o Bot do Google não faça a indexação
dessas páginas, melhor ainda seria se a aplicação não ficasse passando dados em texto puro pela URL.

faculdade_estacio_003 faculdade_estacio_004 faculdade_estacio_005 faculdade_estacio_006 faculdade_estacio_007

Essa vulnerabilidade seria a “A6-Sensitive Data Exposure” tomando como base a tabela da organização OWASP.

vuln_A6_2013_owasp