quinta-feira, 3 de dezembro de 2020

TIC: Nova falha de segurança no Ministério da Saúde expõe dados de 243 milhões de brasileiros

 


Pela segunda vez, sistema de notificações da Covid-19 deixa vulneráveis informações confidenciais de pessoas cadastradas no SUS e usuários de planos de saúde

Uma falha de segurança no sistema de notificações da Covid-19 deixou expostos por pelo menos seis meses dados de 243 milhões de brasileiros, incluindo mortos e autoridades como Jair Bolsonaro e Rodrigo Maia. A denúncia foi feita nesta quarta-feira pelo jornal O Estado de S. Paulo

O vazamento não se restringiu às informações de pacientes com Covid-19. Todos os cidadãos brasileiros com cadastro no Sistema Único de Saúde (SUS) ou beneficiários de algum plano privado tiveram sua privacidade violada. Entre eles, o presidente da República, Jair Bolsonaro, e o presidente da Câmara dos Deputados, Rodrigo Maia (DEM-RJ), e do Senado, Davi Alcolumbre (DEM-AP).

Os dados vazados incluíam número do CPF, nome completo, endereço e telefone. A quantidade de registros expostos excede o número de habitantes do país porque contém dados de pessoas que já morreram.

Segundo O Estado de S. Paulo, o problema foi provocado por uma exposição de dados de login e senha de acesso ao sistema que abriga informações cadastrais de todos os brasileiros no Ministério da Saúde. Esses dados estavam disponíveis no código do site, em um trecho que fica aberto para consulta pela função “inspecionar elemento”, recurso presente em qualquer navegador. As credenciais estavam codificadas conforme o método base64, de fácil decodificação.

Reincidência

Não é a primeira vez que o Ministério da Saúde expõe dados de milhões de usuários. Em junho, a organização Open Knowledge Brasil avisou à pasta que um login e uma senha de acesso para um banco de dados sobre pacientes da Covid-19 estava visível dentro do código do site. O mesmo erro foi denunciado pelo jornal O Estado de S. Paulo na semana passada, com a exposição de dados de mais de 16 milhões de brasileiros.

Ambas as falhas aconteceram no sistema e-SUS-Notifica, que foi desenvolvido pela empresa de tecnologia Zello, contratada pela pasta para outros serviços no ramo da tecnologia.

Após a polêmica, o Ministério da Saúde corrigiu o problema. Em nota, a pasta disse à TV Globo que houve exposição da base cadastral, mas não das informações confidenciais de usuários. E alegou que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.

Segundo a nota, os dados registrados no e-SUS Notifica não foram acessados nem expostos, pois estão protegidos por camadas de segurança que garantem a privacidade da plataforma. A pasta também informou à TV Globo que os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral.

Procurada pelo GLOBO, a Zello informou que trabalhou em conjunto com a equipe técnica do Ministério da Saúde para "apurar a situação" e que constatou "uma vulnerabilidade no aplicativo do Ministério chamado 'Notifica', sem que houvesse exposição massiva de dados de qualquer espécie, sendo preservadas todas as informações sigilosas referentes à saúde dos cidadãos".

Ainda segundo a empresa, informações demográficas de autoridades divulgadas pela mídia só foram acessadas por meio do CPF desses indivíduos. A Zello argumenta que o acesso indevido ao sistema evidenciou vulnerabilidades e ocorreu "de maneira forçada, por meio da montagem manual de pacotes, de simulação de token de sessão e de outras técnicas não banais e que exigem especialização".

A companhia afirmou que os erros foram corrigidos pela pasta logo que alertada pela reportagem do Estadão.

Fonte: O Globo (03/12/2020)

Nenhum comentário:

Postar um comentário

"Este blog não se responsabiliza pelos comentários emitidos pelos leitores, mesmo anônimos, e DESTACAMOS que os IPs de origem dos possíveis comentários OFENSIVOS ficam disponíveis nos servidores do Google/ Blogger para eventuais demandas judiciais ou policiais".