09 Novembro 2020
Depois de várias tentativas de ataques frustrados a sistemas da Justiça Eleitoral, parece que hackers mirando instituições públicas brasileiras obtiveram sucesso em uma outra área: a da Saúde.
O E-Sus Notifica, um sistema com dados de mais de 240 milhões de brasileiros (inclui informações de cidadãos falecidos) foi invadido, e com ele foram obtidas informações como CPF, nome completo e endereço de praticamente toda população usuária ou não do Sistema Único de Saúde. Isso porque a plataforma armazenava também informações de usuários de planos de saúde privados.
Construído por uma empresa privada, a Zello, descobriu-se ainda que a invasão foi mais simples do que se podia imaginar: qualquer um com conhecimentos básicos de internet poderia ter promovido a invasão. Isso porque os dados de login e senha estavam codificados de forma simples no próprio código-fonte da página.
Ou seja, bastaria, por exemplo, ativar o modo de inspeção de página do Google Chrome, e então achar um bloco de código cifrado por números e letras constantes. Depois disso, uma rápida conversão desses códigos em qualquer site que decodifique o padrão base64 traduziria de imediato os dados de login e senha prontos para serem inseridos na área de administração da plataforma.
Ou seja, a invasão não utilizou nenhum método sofisticado, nem ao menos precisaria ser guiada por uma ferramenta específica. Apenas o olhar atento de alguém que munido do Google poderia ingressar em um sistema com informações sensíveis de toda a população brasileira.
Em virtude da Lei Geral de Proteção de Dados, mesmo que o sistema tenha sido criado por uma empresa privada, é possível que o governo venha a responder por essa falha de segurança.
A obtenção desses dados por usuários mal-intencionados pode permitir golpes de phishing sofisticados, afinal, quanto mais informações corretas um golpista mostrar que tem sobre uma vítima, maior a tendência do alvo acreditar na legitimidade de uma proposta.
E você, costuma ter um olhar atento para tentativas de golpe de phishing? Conte para a gente nos comentários!
Comentários