Dados de milhões de usuários do SUS vazam na internet

Data:

Dados de milhões de usuários do SUS vazam na internet | Juristas
Créditos: Chainarong Prasertthai | iStock

Após ataque de hacker, um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website na semana passada.

O autor do vazamento entrou em contato com o portal UOL Tecnologia para avisar que publicaria os dados. Ele também afirmou que avisou o Ministério da Saúde por email, em março deste ano, sobre a falha de segurança, mas nada foi feito. O ministério não confirmou tal informação.

O UOL reportou ao governo os detalhes ao saber do possível ataque para que a brecha fosse investigada. Após a divulgação dos dados, o Ministério da Saúde afirmou que o vazamento era falso, mas que encaminhou a denúncia à Polícia Federal para investigação criminal. Vazamento de dados pessoais de terceiros é crime cibernético (12.737/2012) e pode ocasionar penas de três meses a três anos de prisão, com possibilidade de agravantes.

Na nota, consta: “Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde”. 

A reportagem do UOL apurou que a falha estava no sistema de integração do SUS com outros aplicativos (API – Interface de Programação de Aplicativos), chamado Cadsus, mas o ministério não comentou a existência da falha. A API possui uma função de consulta de dados após login e senha do usuário no sistema, que depende da geração de uma URL.

O portal UOL explica: “Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”, na qual os Xs no final do endereço são, na prática, os 11 números do CPF do usuário que fez a consulta. A API associava o CPF do usuário aos seus dados, e retornava com os dados completos sobre ele”. 

O hacker viu nessa brecha a possibilidade de testar um algoritmo que faz mais de 300 milhões de combinações válidas e consegue obter os dados pessoais dos usuários a partir do CPF de cada um deles.

O UOL apresentou ao ministério uma captura de tela com a parte do API com problemas. Ainda assim, o órgão reforçou que não consta em seus serviços componente de integração com a base de dados de usuários do SUS, é afirmou que a linguagem PHP, alegada como parte da falha, não integra as tecnologias definidas na arquitetura de sistemas do ministério.

O endereço “dabsistemas.saude.gov.br”, subdomínio que permitiu o download de dados, foi retirado do ar na última quinta feira e colocou a mensagem “Informamos que o sistema se encontra em manutenção. Atenciosamente”. 

Apesar da negativa do ministério, alguns nomes de pessoas reais foram buscados e encontrados pelo UOL no banco de dados. 

Especialistas afirmam que o ataque pode ser realizado com facilidade por quem possui conhecimento técnico. Eles explicam que os usuários não possuem mecanismos de defesa contra o ataque, mas devem mudar as senhas e monitorar as contas. 

Martin Hron, pesquisador de segurança sênior da Avast, diz que “Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade”. Ele entende que o fornecedor do sistema do SUS deveria tê-lo atualizado para incluir a criptografia da comunicação e a mudança de HTTP para HTTPS: “A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”. 

Cecília Pastorino, pesquisadora de segurança da ESET, apontou a falta de uma auditoria de segurança como um dos problemas, já que os criminosos procuram vulnerabilidades: “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”.

Após a publicação da notícia pelo UOL, o Ministério da Saúde disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários e confirmou  que faz auditorias regulares na segurança do sistema.

(Com informações do Uol)

Leia também:          

 

Adquira seu certificado digital E-CPF ou E-CNPJ com a Juristas Certificação Digital. Acesse a plataforma de assinatura de documentos com certificado digital de maneira fácil e segura.

Siga o Portal Juristas no Facebook, Instagram, Google News, Pinterest, Linkedin e Twitter.   

 

Juristas
Juristashttp://juristas.com.br
O Portal Juristas nasceu com o objetivo de integrar uma comunidade jurídica onde os internautas possam compartilhar suas informações, ideias e delegar cada vez mais seu aprendizado em nosso Portal.

5 COMENTÁRIOS

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Concessionária de energia é condenada a indenizar usuária por interrupção no fornecimento

A 33ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo manteve a condenação de uma concessionária de energia ao pagamento de R$ 10 mil por danos morais a uma usuária que ficou sem fornecimento de energia elétrica por quatro dias, após fortes chuvas na capital paulista em 2023. A decisão foi proferida pelo juiz Otávio Augusto de Oliveira Franco, da 2ª Vara Cível do Foro Regional de Vila Prudente.

Homem é condenado por incêndio que causou a morte do pai idoso

A 3ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo confirmou a condenação de um homem pelo crime de incêndio que resultou na morte de seu pai idoso. A decisão, proferida pela Vara Única de Conchal, reduziu a pena para oito anos de reclusão, a ser cumprida em regime fechado.

Remuneração por combate a incêndio no Porto de Santos deve se limitar ao valor do bem salvo

A 9ª Vara Cível de Santos condenou uma empresa a pagar R$ 2,8 milhões a outra companhia pelos serviços de assistência prestados no combate a um incêndio em terminal localizado no Porto de Santos. O valor foi determinado com base no limite do bem efetivamente salvo durante a operação.

Casal é condenado por expor adolescente a perigo e mantê-lo em cárcere privado após cerimônia com chá de ayahuasca

A 13ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo (TJSP) confirmou a condenação de um casal pelos crimes de sequestro, cárcere privado e exposição ao perigo à saúde ou vida, cometidos contra um adolescente de 16 anos. A decisão, proferida pela juíza Naira Blanco Machado, da 4ª Vara Criminal de São José dos Campos, fixou as penas em dois anos e quatro meses de reclusão e três meses de detenção, substituídas por prestação de serviços à comunidade e pagamento de um salário mínimo.