Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas. O vazamento de senhas de sistemas eletrônicos do Ministério da Saúde expôs os dados pessoais de 16 milhões de brasileiros que se submeteram a testes para covid-19.
Foram divulgados dados pessoais como CPF, endereço, telefone e doenças pré-existentes. As informações foram publicadas por diversos meios de comunicação nesta 5ª feira, 26 de novembro.
Entre as pessoas que tiveram os dados expostos estão os chefes do Executivo e do Legislativo, ministros do governo federal e 17 governadores. Eis algumas delas:
- Jair Bolsonaro, presidente da República;
- Eduardo Pazuello, ministro da Saúde;
- Onyx Lorenzoni, ministro da Cidadania;
- Damares Alves, ministra da Mulher, da Família e dos Direitos Humanos;
- João Doria (PSDB), governador de São Paulo;
- Rodrigo Maia (DEM-RJ), presidente da Câmara;
- Davi Alcolumbre (DEM-AP), presidente do Senado.
Com essas senhas, era possível acessar os registros de covid-19 lançados em dois sistemas federais: o E-SUS-VE, no qual são notificados casos suspeitos e confirmados da doença quando o paciente tem quadro leve ou moderado, e o Sivep-Gripe, em que são registradas todas as internações por Síndrome Respiratória Aguda Grave, ou seja, os pacientes mais graves.
Segundo as fontes de informações disponíveis, a exposição das informações não foi causada por ataque hacker, mas sim decorrente de uma ação de Wagner Santos, funcionário do Hospital Albert Einstein que tinha acesso liberado aos bancos de dados do Ministério da Saúde. A reportagem questionou a instituição o motivo de ela ter acesso aos dados pessoais e não apenas informações sem identificação e foi informada que o banco de dados não fica disponível para o Einstein e somente ao funcionário do hospital que ficava baseado no próprio Ministério da Saúde. Já o órgão federal confirmou a parceria e disse que realizou reunião com o Einstein para esclarecimento dos fatos. Disse que o profissional Wagner Santos, que publicou as senhas, é contratado pelo Einstein e atua no ministério desde setembro como cientista de dados.
A exposição dos dados foi descoberta pelo Estadão após uma denúncia recebida pela reportagem com o link para a página onde as senhas dos sistemas estavam disponíveis.
Santos publicou em seu perfil pessoal da plataforma GitHub, em 28 de outubro, uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas por covid-19 no Brasil.
Os bancos de dados traziam, além das informações pessoais, detalhes sobre o histórico clínico dos pacientes. As pessoas que tiveram os dados vazados foram examinadas em unidades de saúde tanto da rede pública quanto da privada, pois a notificação de casos suspeitos ou confirmados de covid-19 é obrigatória a todas as unidades hospitalares.
Ao jornal O Estado de S.Paulo, o Hospital Albert Einstein e o Ministério da Saúde disseram que as chaves de acesso foram trocadas nos sistemas e que uma investigação interna será aberta pelo hospital para apurar as responsabilidades.
O hospital afirmou que “1 colaborador teria arquivado informações de acesso a determinados sistemas sem a proteção adequada”. O hospital diz ter comunicado o Ministério da Saúde para que “fossem tomadas as medidas para assegurar a proteção das referidas informações”.
De acordo com o Ministério da Saúde, o Hospital Albert Einstein confirmou que houve falha humana, e não do sistema. O órgão disse que está realizando “o rastreamento de possíveis sites ou ciberespaços onde os dados podem ter sido replicados”.
O funcionário Wagner Santos disse que publicou a planilha de senhas em seu perfil na plataforma GitHub para a realização de teste na implementação de um modelo, porém esqueceu de remover o arquivo da página pública.
Segundo o site ndmais, o Einstein afirmou ainda que todos os seus funcionários passam por treinamento de segurança digital e que “tomará as medidas administrativas cabíveis”. Questionado sobre o tipo de serviço que prestava para o ministério, o hospital informou que se trata de um projeto do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde (Proadi-SUS) em que dados epidemiológicos eram usados para fazer análise preditiva da pandemia.
Banco de dados
Os bancos de dados do ministério trazem, além das informações pessoais dos pacientes, detalhes considerados confidenciais sobre o histórico clínico, como a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.
Alguns registros de pacientes internados traziam até informações do prontuário, como quais medicamentos foram administrados durante a hospitalização. No registro de Pazuello, por exemplo, era possível saber em qual andar do Hospital das Forças Armadas ele ficou internado e qual profissional deu baixa em sua internação.
Tanto pacientes da rede pública quanto da privada tiveram seus dados expostos. Isso porque a notificação de casos suspeitos ou confirmados de Covid ao Ministério da Saúde é obrigatória a todos os hospitais.
Situação preocupante
Para o site ndmais, o advogado Juliano Madalena, professor de Direito Digital e fundador do fórum direitodigital.io, diz que o vazamento das senhas e exposição dos dados que deveriam ser resguardados pelo poder público é preocupante. De acordo com o especialista, as informações podem ser usadas para fins comerciais por diferentes empresas. “Dados de saúde podem ser usados por empresas do ramo que queiram criar produtos específicos voltados para um público, por empresas de seguro de vida ou planos de saúde de forma indevida, muitas vezes até com aspecto discriminatório, pois você tem as informações sobre o histórico de saúde da pessoa”, diz.
O advogado diz que, considerando a Lei Geral de Proteção de Dados, é dever de quem controla e acessa os dados adotar medidas que evitem vazamentos. Nesse caso, tanto o Einstein e seu funcionário quanto o Ministério da Saúde podem ser responsabilizados por dano coletivo por terem exposto informações de milhões de pessoas. Mesmo quando não agem de forma proposital, responsáveis por vazamento de dados pessoais e sensíveis podem ser obrigados judicialmente a pagar indenizações por dano coletivo.
Fonte: O Estado de São Paulo & ndmais & Poder360
Patrocínio MindSec Segurança e Tecnologia da Informação
Veja também:
- Como usar a estrutura Mitre ATT&CK para segurança na nuvem
- Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian
- Sua senha não é segura, nem uma autenticação multifator SMS
- Microsoft confirma problema sério de senha do Windows 10
- Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros
- Fresh Malware visa usuários do Mercado Livre e sites de comércio eletrônico na América Latina
- O que a presidência de Joe Biden significa para a segurança cibernética
- A LGPD e o mito do advogado que entende de dados
- Falta de privacidade mata mais que terrorismo
- TSE admite ataque hacker neste domingo de eleições
- Malware oculto em tráfego criptografado aumenta 260% durante pandemia
- Ferramentas de PenTest/Red Team que todos deviam conhecer!
Deixe sua opinião!