Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Vazamento expôs 2,4 milhões de usuários; hacker diz que dados vieram do SUS, mas Ministério da Saúde nega

Felipe Ventura
Por
• Atualizado há 2 anos e 4 meses

Um vazamento que expôs 2,4 milhões de usuários, divulgado nesta quinta-feira (11), criou uma polêmica: o hacker diz que os dados vieram do SUS (Sistema Único de Saúde); o Ministério da Saúde nega. No entanto, indícios levantados pelo Tecnoblog apontam que as informações vieram do governo: meu cadastro foi vazado e inclui um endereço físico que eu só poderia ter usado no SUS. Além disso, o sistema que teria servido como fonte ficou exposto desde pelo menos 2014, e agora está “em manutenção”.

O hacker chamado Tr3v0r conversou com o Tecnoblog e explicou alguns detalhes adicionais. Ele diz que obteve dados de 205 milhões de pessoas, sem registros duplicados. 1% disso foi publicado em um site que está atualmente fora do ar, e que deve migrar para um domínio .onion na dark web. “Mais para a frente eu irei vazar o restante”, conta ele.

Em fevereiro, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Os dados incluem CPF, nome completo, nome da mãe, data de nascimento, localidade, número (do imóvel), complemento, bairro, CEP, cidade e estado.

Pedi para Tr3v0r encontrar meus dados a partir do nome completo. O CPF está correto, assim como a data de nascimento e o nome da minha mãe — isso não prova muita coisa, já que essas informações já devem ter vazado antes.

A parte mais importante é o meu endereço cadastrado, que provavelmente só consta nos sistemas do SUS. Ele pertence a uma família que eu conhecia em São Gonçalo (RJ) e nunca foi usado para correspondências nem contratos. Eu me mudei em 2011 para Niterói, cidade vizinha, e passei alguns meses sem plano de saúde válido no estado.

Domínio do Ministério da Saúde expôs dados desde 2014

Os dados foram obtidos através de uma API em um domínio do Ministério da Saúde, segundo Tr3v0r. Era possível usar um endereço com CPF no final, seguindo o padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Então, ao longo de “alguns meses”, ele rodou um script com gerador de CPF para coletar as informações correspondentes a cada número.

Tr3v0r publicou esse script no GitHub em 2015. Inclusive, existem dois relatos no Twitter — um de 2014, outro de 2016 — avisando que essa API estava aberta ao público, expondo dados como “data de nascimento e nome da mãe de cidadãos pelo CPF”. (O Serpro esclarece em comunicado ao Tecnoblog que não desenvolveu o e-SUS, ao contrário do que sugere um dos tweets.)

Tr3v0r diz que avisou o Ministério da Saúde por e-mail, em 29 de março, sobre a brecha — mas ela não foi corrigida. Esse domínio do Ministério da Saúde, que teria servido de fonte, estava disponível ainda hoje: ele permitia escolher entre Controle eSUS, Telessaúde, Vitamina A e outros Sistemas de Informação da Atenção Básica.

Depois que o vazamento foi divulgado, esse domínio saiu do ar. Ao acessá-lo, você se depara com a mensagem: “informamos que o sistema se encontra em manutenção”.

Tr3v0r diz que ainda existem mais duas APIs no domínio saude.gov.br que expõem dados do SUS e não foram descobertas até o momento. Além disso, ele alega haver outras duas APIs abertas no site do antigo Ministério do Trabalho e Emprego, pasta que foi extinta em janeiro. (Suas funções foram repassadas à Secretaria Especial de Previdência e Trabalho, subordinada ao Ministério da Economia.)

Ministério da Saúde diz que vazamento é “fake news”

Em comunicado, o Ministério da Saúde diz que “é falso o suposto vazamento de informações da base de dados de usuários do SUS (CADSUS)”. De acordo com uma análise preliminar, “não há indícios que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS”.

Além disso, o ministério diz que o DATASUS (Departamento de Informática do SUS) “reforçou as ações de segurança para assegurar a proteção dos dados dos usuários”, a fim de evitar ações fraudulentas como “vazamento indevido de informações”.

https://www.instagram.com/p/BwH8OzqHiIe/

Atualizado em 12/04

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.

Canal Exclusivo

Relacionados

Como marcar consulta pelo aplicativo do SUS [Conecte SUS]
Como marcar consulta pelo aplicativo do SUS [Conecte SUS]
Como acessar a carteira de vacinação digital do SUS
Como acessar a carteira de vacinação digital do SUS
Como consultar o cartão do SUS pelo aplicativo [Conecte SUS]
Como consultar o cartão do SUS pelo aplicativo [Conecte SUS]
App Conecte SUS terá carteira de vacinação contra COVID-19
App Conecte SUS terá carteira de vacinação contra COVID-19
PF diz que dados do Ministério da Saúde não foram criptografados por hackers
PF diz que dados do Ministério da Saúde não foram criptografados por hackers
Sem ConecteSUS, governo sugere emitir certificado da vacina em posto de saúde
Sem ConecteSUS, governo sugere emitir certificado da vacina em posto de saúde
Ministério da Saúde expõe dados de 243 milhões de pessoas
Ministério da Saúde expõe dados de 243 milhões de pessoas
Ministério da Saúde é alvo de hackers e ConecteSUS deixa de exibir vacinação
Ministério da Saúde é alvo de hackers e ConecteSUS deixa de exibir vacinação
ConecteSUS e mais sistemas da Saúde estão fora do ar após tentativa de invasão
ConecteSUS e mais sistemas da Saúde estão fora do ar após tentativa de invasão
Androids e iPhones recebem alerta de exposição ao coronavírus no Brasil
Androids e iPhones recebem alerta de exposição ao coronavírus no Brasil