Dados de milhões de usuários do SUS vazam na internet

Data:

Dados de milhões de usuários do SUS vazam na internet | Juristas
Créditos: Chainarong Prasertthai | iStock

Após ataque de hacker, um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website na semana passada.

O autor do vazamento entrou em contato com o portal UOL Tecnologia para avisar que publicaria os dados. Ele também afirmou que avisou o Ministério da Saúde por email, em março deste ano, sobre a falha de segurança, mas nada foi feito. O ministério não confirmou tal informação.

O UOL reportou ao governo os detalhes ao saber do possível ataque para que a brecha fosse investigada. Após a divulgação dos dados, o Ministério da Saúde afirmou que o vazamento era falso, mas que encaminhou a denúncia à Polícia Federal para investigação criminal. Vazamento de dados pessoais de terceiros é crime cibernético (12.737/2012) e pode ocasionar penas de três meses a três anos de prisão, com possibilidade de agravantes.

Na nota, consta: "Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde". 

A reportagem do UOL apurou que a falha estava no sistema de integração do SUS com outros aplicativos (API - Interface de Programação de Aplicativos), chamado Cadsus, mas o ministério não comentou a existência da falha. A API possui uma função de consulta de dados após login e senha do usuário no sistema, que depende da geração de uma URL.

O portal UOL explica: "Por exemplo, o endereço "consulta.php?dados=http://xxx.xxx.xxx.xx", na qual os Xs no final do endereço são, na prática, os 11 números do CPF do usuário que fez a consulta. A API associava o CPF do usuário aos seus dados, e retornava com os dados completos sobre ele". 

O hacker viu nessa brecha a possibilidade de testar um algoritmo que faz mais de 300 milhões de combinações válidas e consegue obter os dados pessoais dos usuários a partir do CPF de cada um deles.

O UOL apresentou ao ministério uma captura de tela com a parte do API com problemas. Ainda assim, o órgão reforçou que não consta em seus serviços componente de integração com a base de dados de usuários do SUS, é afirmou que a linguagem PHP, alegada como parte da falha, não integra as tecnologias definidas na arquitetura de sistemas do ministério.

O endereço "dabsistemas.saude.gov.br", subdomínio que permitiu o download de dados, foi retirado do ar na última quinta feira e colocou a mensagem "Informamos que o sistema se encontra em manutenção. Atenciosamente". 

Apesar da negativa do ministério, alguns nomes de pessoas reais foram buscados e encontrados pelo UOL no banco de dados. 

Especialistas afirmam que o ataque pode ser realizado com facilidade por quem possui conhecimento técnico. Eles explicam que os usuários não possuem mecanismos de defesa contra o ataque, mas devem mudar as senhas e monitorar as contas. 

Martin Hron, pesquisador de segurança sênior da Avast, diz que "Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade". Ele entende que o fornecedor do sistema do SUS deveria tê-lo atualizado para incluir a criptografia da comunicação e a mudança de HTTP para HTTPS: "A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada". 

Cecília Pastorino, pesquisadora de segurança da ESET, apontou a falta de uma auditoria de segurança como um dos problemas, já que os criminosos procuram vulnerabilidades: "Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior".

Após a publicação da notícia pelo UOL, o Ministério da Saúde disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários e confirmou  que faz auditorias regulares na segurança do sistema.

(Com informações do Uol)

Leia também:          

 

Adquira seu certificado digital E-CPF ou E-CNPJ com a Juristas Certificação Digital. Acesse a plataforma de assinatura de documentos com certificado digital de maneira fácil e segura.

Siga o Portal Juristas no Facebook, Instagram, Google News, Pinterest, Linkedin e Twitter.   

 

Juristas
Juristashttp://juristas.com.br
O Portal Juristas nasceu com o objetivo de integrar uma comunidade jurídica onde os internautas possam compartilhar suas informações, ideias e delegar cada vez mais seu aprendizado em nosso Portal.

5 COMENTÁRIOS

Deixe um comentário

Compartilhe

Inscreva-se

Últimas

Recentes
Veja Mais

Arquiteta é condenada por não concluir reforma em apartamento de cliente

A 3ª Vara Cível da Comarca de Natal, no Tribunal de Justiça do Rio Grande do Norte (TJRN), proferiu sentença condenando uma arquiteta, prestadora de serviços de reforma em imóveis, ao pagamento de indenização por danos materiais de R$ 74.805,00, acrescidos de multa contratual estipulada em R$ 22 mil, em razão da não conclusão, no prazo acordado, da obra em um apartamento de um cliente. Além disso, a profissional foi condenada a pagar uma indenização por danos morais em favor do autor no valor de R$ 10 mil.

A primeira turma do STF decide tornar réus sete integrantes da antiga cúpula da PMDF por omissão em atos antidemocráticos

A Primeira Turma do Supremo Tribunal Federal (STF) formou maioria para tornar réus sete integrantes da antiga cúpula da Polícia Militar do Distrito Federal (PMDF), todos suspeitos de omissão durante os atos antidemocráticos de 8 de janeiro de 2023, quando as sedes dos Três Poderes foram invadidas e depredadas. A sessão de julgamento, que é virtual, está prevista para durar até 20 de fevereiro. Os ministros Cristiano Zanin e Cármen Lúcia seguiram o voto do relator, Alexandre de Moraes. Falta o voto do ministro Luiz Fux.

STF inspaciona desintrusão da Terra Indígena Trincheira-Bacajá (PA)

Uma missão oficial liderada pelo Supremo Tribunal Federal (STF), com representantes do Conselho Nacional de Justiça (CNJ) e da Presidência da República, esteve em operação no último dia 4 para inspecionar o progresso da desintrusão da Terra Indígena (TI) Trincheira-Bacajá, localizada no estado do Pará (PA). Durante a visita, foram realizados sobrevôos em áreas-chave da reserva e reuniões com líderes indígenas do povo Xikrin.

Dupla é condenada por saída do país com dinheiro não declarado à Receita Federal

A 7ª Vara Federal de Porto Alegre emitiu sentença, no dia 6 de fevereiro, condenando dois indivíduos pelo crime de evasão de divisas. Ambos foram flagrados transportando dinheiro em espécie para fora do país sem declará-lo à Receita Federal.