Vazamento no e-SUS expõe dados de 243 milhões de pessoas

Vazamento no e-SUS expõe dados de 243 milhões de pessoas. Falha foi causada por inserção de login e senha em código de site do Ministério da Saúde

Uma falha no e-SUS Notifica, sistema de notificações sobre COVID-19 mantido pelo Ministério da Saúde, permitiu que dados sigilosos de mais de 200 milhões de brasileiros ficassem expostos na internet por pelo menos seis meses.

Na semana passada, veio à tona um vazamento de senhas no Ministério da Saúde que expôs dados de 16 milhões de pessoas. O problema foi causado por um cientista de dados externo que afirma ter publicado a lista de senhas no GitHub para fazer um teste e esquecido de removê-la posteriormente. No vazamento foi divulgado dados pessoais como CPF, endereço, telefone e doenças pré-existentes. As informações foram publicadas por diversos meios de comunicação nesta 5ª feira, 26 de novembro.

Revelada pelo Estadão, a descoberta mais recente é muito mais grave, pois expôs dados de 243 milhões de cidadãos cadastrados no SUS (como nome completo, endereço, telefone e CPF). O número de registros supera o de habitantes no Brasil (estimado em 210 milhões) por também conter dados de pessoas falecidas. 

Assim como no primeiro vazamento, ficaram vulneráveis até mesmo dados de autoridades, incluindo o presidente Jair Bolsonaro (sem partido), o presidente da Câmara Rodrigo Maia (DEM-RJ) e o senador Davi Alcolumbre (DEM-AP).

O Ministério da Saúde também disse que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições. Segundo 0 Ministério, os dados registrados no e-SUS Notifica não foram acessados nem expostos, porque existem camadas de segurança que garantem a privacidade da plataforma. 

Novamente, o problema foi causado por um tratamento inadequado de senhas, devido as credenciais (login e senha) de acesso ao sistema terem sido inseridos no código-fonte do site e permitiam ser acessados a partir do modo de inspeção existente nos navegadores.

As credenciais foram codificadas via Base64, método que pode ser decodificado facilmente e, por isso, não funciona para proteger dados sigilosos.

Questionado sobre o problema, o Ministério da Saúde corrigiu a falha e informou ao Estadão que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”.

O jornal também constatou que o e-SUS Notifica foi desenvolvido por uma empresa de tecnologia chamada Zello (antiga MBA Mobi) que, de acordo com dados do Portal da Transparência, recebeu mais de R$ 43 milhões do governo desde 2017.

Quando questionado sobre contratar uma empresa para desenvolver o sistema mesmo com o órgão podendo recorrer ao Datasus para isso, o Ministério da Saúde informou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que esses serviços são fiscalizados “por servidores da casa”.

e-Saúde já vazou em 2018

No início deste ano de 2018, veio a público a notícia de que uma falha de segurança no aplicativo E-Saúde, disponibilizado pelo Ministério da Saúde, teria exposto, durante meses, dados pessoais de milhares de brasileiros usuários do Sistema Único de Saúde (SUS). Através de brecha no sistema, tornou-se possível acessar desde dados básicos, como o cartão do SUS em nome do titular, até informações médicas detalhadas, como o histórico de retirada de medicamentos e a agenda de consultas na rede pública.

Além da evidente quebra da privacidade dos cidadãos que tiveram suas informações íntimas expostas, o vazamento de dados da espécie mostra-se ainda mais sensível, em virtude do valor econômico que podem representar. Levantamentos sobre os remédios utilizados pela população e as prescrições mais recorrentes podem ser de grande valia, por exemplo, para a indústria farmacêutica e para as seguradoras de saúde.

Oportunamente, o tema vazamento de dados merece total destaque tendo em vista o recente advento da Lei nº 13.709/2018, a famigerada Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Michel Temer no último dia 14 de agosto de 2018.

As inovações trazidas pelo novo marco legal, principalmente no que concerne à forma como o tratamento de dados pode ocorrer, colocaram o Brasil em destaque no cenário internacional, equiparando a legislação brasileira às mais avançadas legislações internacionais de segurança digital.

A revolução no processo de tratamento de dados pessoais trará consequências em diversos setores, sendo um deles, justamente, a área da saúde.

Fonte: Estadão & G1 & JOTA 

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Privacidade comprometida |
  2. Privacidade comprometida | Sucesso
  3. LGPD NA SAÚDE: DESAFIOS PARA ADEQUAÇÃO E IMPLEMENTAÇÃO DO PROGRAMA DE PRIVACIDADE – Rafael Bonfim Advocacia e Consultoria

Deixe sua opinião!