Por mais que os temas relacionados à cibersegurança sejam de extrema relevância no mundo atual, nem sempre as empresas ou os órgãos públicos estão devidamente preparados para lidar com isso.

Desta vez, o caso ocorreu com o Ministério da Saúde, em meio à pandemia do novo coronavírus. Nesta semana, o Estadão descobriu uma exposição de dados da pasta com 243 milhões de registros de pacientes. O Detetive TudoCelular foi entender o caso para passar a você os detalhes. Confira:

A investigação identificou que os 243 milhões de registros estavam, ao menos, por seis meses expostos na internet. A lista inclui não somente pessoas diagnosticadas com Covid-19, mas sim de brasileiros no geral, com cadastro no SUS ou beneficiário de um plano de saúde privado.

Entre as informações sensíveis disponíveis para acesso, estavam nome completo da pessoa, número do CPF, endereço e telefone.

Outra curiosidade é que o total de exposição supera o número de habitantes atualmente do país – 210 milhões. A explicação para isso é a existência de dados pessoais na relação de indivíduos que já faleceram.

Pessoas "VIP" na lista

Não foram somente figuras sem fama que aparecem na lista dos milhões de vazamentos do Ministério da Saúde. Segundo o Estadão, até mesmo aqueles classificados como “VIP” no sistema tiveram suas informações reveladas.

Os principais notórios que foram vítimas da exposição são os chefes dos três poderes: o presidente Jair Bolsonaro; o deputado Rodrigo Maia; o senador Davi Alcolumbre; e o ministro e presidente do Supremo Tribunal Federal, Luiz Fux.

O motivo do vazamento teria relação com o login e a senha de acesso à base de dados dos brasileiros no Ministério da Saúde. As credenciais ficavam localizadas em uma parte do código HTML do site aberto para qualquer internauta visualizar em seu navegador, ao clicar com o botão direito do mouse na página e entrar na opção “Inspecionar elemento”.

A resposta para isso está no método de codificação dessas informações: o Base64. Ele consiste em uma técnica que torna os dados em códigos, mas não é voltada à segurança digital em si.

Em outras palavras, não existia uma criptografia para proteger as informações sensíveis dos brasileiros, o que permitia o acesso a elas por meio de ferramentas básicas na internet.

e-SUS-Notifica

Conhecido como e-SUS-Notifica, o sistema do Ministério foi criado pela Zello – conhecida anteriormente como MBA Mobi –, a qual é responsável também por outros softwares para a pasta.

Apesar de não haver uma confirmação da quantia desembolsada pelo poder público para contratar à companhia, o Portal da Transparência indica que a empresa já recebeu um valor superior a R$ 43 milhões desde 2017.

Uma outra falha havia sido detectada em junho deste ano pela ONG Open Knowledge Brasil (OKBR). Ela descobriu que login e senha para um banco de dados de pacientes com Covid-19 estavam acessíveis no meio do código do site.

Na ocasião, a entidade chegou a reportar o ocorrido ao Ministério da Saúde, que corrigiu a vulnerabilidade específica. Mas parece não ter se atentado a outros erros existentes em sua plataforma.

Em vigência desde meados deste ano de 2020, a Lei Geral de Proteção de Dados (LGPD) estabelece multas ao controlador da base de dados. Neste caso específico, quem gerencia o sistema é o Ministério da Saúde.

Caso isso seja levado à Justiça, a pasta poderá ser responsabilizada por dano individual ou coletivo. A condenação é o pagamento de indenizações aos prejudicados.

O Estadão afirmou ter entrado em contato com o Ministério da Saúde e a Zello, para saber quais são os posicionamentos de cada um sobre o caso. O órgão federal afirmou que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério” e já teria corrigido a falha.

Apesar disso, não explicou o motivo pelo qual não teria corrigido o problema ainda em junho, na ocasião do relato da outra vulnerabilidade. Mas completa que tem tomado ações de segurança para evitar novos incidentes.

Sobre a contratação da Zello para desenvolver o sistema, no lugar de usar o próprio departamento de tecnologia estatal (Datasus), o ministério alega ter previsão para serviços terceirizados, apesar de acompanhar e fiscalizar por meio de “servidores da casa”.

Já a desenvolvedora do sistema e-SUS-Notifica não chegou a se manifestar sobre o caso até a noite de terça-feira (1º).

Qual é a sua avaliação sobre o problema sofrido pelo Ministério da Saúde com os milhões de registros vazados? Comente conosco!