Ao que parece, os dados dos brasileiros não têm sido levados a sério por companhias e principalmente pelo próprio governo federal. Vimos recentemente que informações de mais de 240 milhões de cidadãos foram vazados através dos sistemas da Serasa Experian, depois que os servidores do SUS foram invadidos, tendo dados de 200 milhões de brasileiros divulgados. Fora isso, Vivo, TIM, Claro e Oi vêm sendo investigadas a respeito de mais um ataque hacker que divulgou 100 milhões de linhas telefônicas.

Agora, o SUS volta a ser invadido, mas em uma situação curiosa. Um hacker que se autoproclama "HACKER_SINCERO" conseguiu acesso aos dados armazenados no FormSUS, serviço do DataSUS pelo qual usuários preenchiam formulários para poderem utilizar outro serviços do Sistema de Saúde.

Essa não foi a primeira invasão do hacker, que havia deixado um aviso ao Ministério da Saúde para que investissem na segurança do site. Desta vez, no entanto, o invasor subiu o tom ameaçando expor os dados dos responsáveis pelo portal caso melhorias não sejam feitas, publicando documentos censurados de alguns dos funcionários como prova.

Novos avisos também são enviados à Autoridade Nacional de Proteção de Dados (ANPD) e a outros hackers. “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!! Hackers sem vergonha, parem de vender os dados, o custo para arrumar isto vai sair do seu bolso!!", diz a mensagem.

HACKER_SINCERO também aponta para três problemas que a plataforma apresenta: RCE (execução remota de código), falha que permite a execução de software malicioso através da rede; SQLI (injeção de SQL), vulnerabilidade que permite o acesso ao banco de dados para coleta de informações; e XSS (script entre sites), que permite a injeção de código mal intencionado no navegador de usuários para coleta de dados.

O invasor conclui afirmando que o FormSUS é um verdadeiro CTF, ou Capture The Flag, sigla que faz referência a um tipo de competição no qual hackers se enfrentam para encontrar e explorar ou consertar falhas de segurança em sistemas, plataformas e serviços.

Ao Tecnoblog, o Ministério da Saúde disse que o FormSUS já foi descontinuado, e seguiu no ar apenas para que os gestores baixassem os formulários. O órgão também garante que o novo ataque foi apenas do tipo defacement, quando um invasor apenas modifica a interface do serviço ou plataforma hackeado.