Nova falha da Saúde expõe dados de mais de 200 milhões
Desta vez, ficaram disponíveis informações de todo brasileiro cadastrado no SUS ou cliente de plano de saúde
Dados pessoais de mais de 200 milhões de brasileiros ficaram expostos na internet por pelo menos seis meses, em mais uma falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde, informa Fabiana Cambricoli. Desta vez, não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado na semana passada pelo Estadão: ficaram disponíveis para consulta as informações pessoais de todos os brasileiros cadastrados no SUS ou clientes de plano de saúde. Puderam ser acessados cerca de 243 milhões de registros de pacientes, nos quais constavam CPF, nome completo, endereço e telefone. O total de registros é maior do que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram. O problema ocorreu por causa de uma falha de segurança no código do sistema E-sus-notifica, desenvolvido por uma empresa contratada pelo ministério.
Uma nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, durante pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Não foram apenas pacientes com diagnóstico de covid que tiveram sua privacidade violada, como ocorreu em outro caso de exposição denunciado pelo Estadão na semana passada. Desta vez, ficaram abertos para consulta as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde.
Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes, nos quais constavam informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do País (210 milhões) porque há informações de pessoas que já morreram.
Entre os brasileiros que tiveram a privacidade violada estão os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia (DEM-RJ), o senador Davi Alcolumbre (DEM-AP), além do ministro do Supremo Tribunal Federal Luiz Fux. No caso dos presidentes da Câmara e do Senado, nem um status de “VIP” na base de dados impediu que suas informações pessoais fossem violadas (veja quadro ao lado).
Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. “O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
Alerta. A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que as credenciais de acesso para um banco de dados de pacientes com covid também estavam expostos no meio do código do mesmo sistema. Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código.
O problema identificado agora pelo Estadão na exposição de senha de outro banco de dados já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
“Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do ministério, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros”, diz Fernanda Campagnucci, diretora executiva da OKBR.
Empresa. O sistema e-susnotifica, que teve ao menos duas falhas de segurança reportadas até agora, foi criado pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. O ministério não informou quanto pagou à companhia pelo serviço, mas, segundo dados do Portal da Transparência consultados pelo Estadão, a empresa já recebeu do governo mais de R$ 43 milhões desde 2017.
Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações.
“Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um visualize senhas de acesso a bases de dados é um erro de segurança básico”, diz Joana Varon, fundadora e diretora da organização Coding Rights.