Nova falha do Ministério da Saúde expõe dados pessoais de mais de 200 milhões de brasileiros – Saúde


Uma nova violação de segurança no sistema de notificação covid-19 do Ministério da Saúde deixaram expostos na internet, há pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Não foram apenas os pacientes com diagnóstico de cobiça que tiveram sua privacidade violada, como ocorreu em outro caso de exposição relatado por Estadão Semana Anterior. Desta vez, foram abertos para consulta os dados pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de plano de saúde.

De acordo com uma investigação do Estadão, foram expostos cerca de 243 milhões de prontuários, contendo informações como número do CPF, nome completo, endereço e telefone. O número total de registros é maior que o número de habitantes do país (210 milhões), pois há informações sobre pessoas que já faleceram.

Entre os brasileiros cuja privacidade foi violada estão os chefes dos três poderes do governo: Presidente Jair Bolsonaro, deputado federal Rodrigo Maia, senador Davi Alcolumbre, além do presidente do STF, ministro Luiz Fux. No caso de prefeitos e senadores, nem o status “VIP” no banco de dados impediu que suas informações pessoais fossem violadas.

Mais uma vez, o problema foi causado por exposição inadequada de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.

Essas credenciais de acesso estavam em uma seção do código do site que pode ser visualizada por qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimento básico de desenvolvimento de sites seria capaz de encontrar a senha, descriptografá-la e acessar o banco de dados.

O login e a senha foram criptografados usando um método conhecido como base64, facilmente decifrável usando ferramentas online. “Base64 é um método de criptografia de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso foram, sim, expostos ”, explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.

A falha na exposição de login e senha é semelhante à relatada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que o login e a senha de um banco de dados de pacientes com cobiça também estavam expostos no meio do código do site.

Após a denúncia do OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema agora identificado por Estadão na exposição da senha de outro sistema, ela já existia no início de junho, quando foi feita a denúncia, conforme documento registrado em cartório pela OKBR.

“Cada vez que você para e vai analisar a política de segurança da informação e gestão de dados do Ministério da Saúde, encontra uma vulnerabilidade mais grave. No momento da reclamação que fizemos, solicitamos uma auditoria e não recebemos resposta. É claro que eles não aceitaram e ainda não estão levando a sério o processamento de dados de milhões de brasileiros ”, afirma Fernanda Campagnucci, diretora executiva do OKBR.

Sistema com problemas foi desenvolvido por empresa contratada pelo governo

O sistema e-SUS-Notifica, que teve pelo menos duas falhas de segurança relatadas até o momento, foi desenvolvido pela empresa de tecnologia Zello (ex-MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. O ministério não informou quanto pagou à empresa pelo serviço, mas, segundo dados do Portal da Transparência consultado pelo Estadão, a empresa já recebeu mais de R $ 43 milhões do governo desde 2017.]

Independentemente de quem foi o erro que deixou o login e a senha expostos, o Ministério da Saúde pode ser responsabilizado por danos individuais ou coletivos e condenado ao pagamento de indenização. “De acordo com a Lei Geral de Proteção de Dados, quem controla a base de dados tem responsabilidades, inclusive no que diz respeito à segurança dessas bases. Permitir que qualquer pessoa tenha acesso a senhas de acesso ao banco de dados é um erro básico de segurança ”, diz Joana Varon, fundadora e diretora da organização Coding Rights.

Governo federal afirma que investigará o caso

Questionado sobre a quebra de segurança e a exposição dos dados de mais de 200 milhões de pessoas, o Ministério da Saúde informou que “os incidentes relatados estão sendo investigados para apurar a responsabilidade da exposição da base cadastral do ministério”. O problema identificado já foi corrigido após o Estadão.

Disse ainda que “dispõe de protocolos de segurança e protecção de dados, que são constantemente avaliados e melhorados de forma a mitigar exposições”, mas não explicou porque não houve revisão do código do sistema em junho, quando foi feita a primeira reclamação sobre o problema. Segundo o ministério, “estão a ser tomadas medidas de segurança para prevenir novos incidentes, bem como medidas administrativas para apurar o ocorrido”.

Também foi perguntado ao ministério por que contratou uma empresa privada para desenvolver o sistema de notificação de casos covid-19, visto que o portfólio possui um departamento de tecnologia (Datasus). A agência justificou que “a carteira prevê contratações para atender necessidades que possam ser terceirizadas” e que os serviços são monitorados e fiscalizados “por empregados domésticos”. O ministério também disse que “aprecia os esforços da sociedade para identificar problemas ou vulnerabilidades”.

A empresa Zello, contratada para desenvolver o sistema e-SUS-Notifica, também foi contatada pela Estadão, mas não falou até as 21h desta terça-feira, 1º.