Início » Antivírus e Segurança » Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Vazamento expôs 2,4 milhões de usuários; hacker diz que dados vieram do SUS, mas Ministério da Saúde nega

Felipe Ventura Por

Um vazamento que expôs 2,4 milhões de usuários, divulgado nesta quinta-feira (11), criou uma polêmica: o hacker diz que os dados vieram do SUS (Sistema Único de Saúde); o Ministério da Saúde nega. No entanto, indícios levantados pelo Tecnoblog apontam que as informações vieram do governo: meu cadastro foi vazado e inclui um endereço físico que eu só poderia ter usado no SUS. Além disso, o sistema que teria servido como fonte ficou exposto desde pelo menos 2014, e agora está “em manutenção”.

O hacker chamado Tr3v0r conversou com o Tecnoblog e explicou alguns detalhes adicionais. Ele diz que obteve dados de 205 milhões de pessoas, sem registros duplicados. 1% disso foi publicado em um site que está atualmente fora do ar, e que deve migrar para um domínio .onion na dark web. “Mais para a frente eu irei vazar o restante”, conta ele.

Em fevereiro, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Os dados incluem CPF, nome completo, nome da mãe, data de nascimento, localidade, número (do imóvel), complemento, bairro, CEP, cidade e estado.

Pedi para Tr3v0r encontrar meus dados a partir do nome completo. O CPF está correto, assim como a data de nascimento e o nome da minha mãe — isso não prova muita coisa, já que essas informações já devem ter vazado antes.

A parte mais importante é o meu endereço cadastrado, que provavelmente só consta nos sistemas do SUS. Ele pertence a uma família que eu conhecia em São Gonçalo (RJ) e nunca foi usado para correspondências nem contratos. Eu me mudei em 2011 para Niterói, cidade vizinha, e passei alguns meses sem plano de saúde válido no estado.

Domínio do Ministério da Saúde expôs dados desde 2014

Os dados foram obtidos através de uma API em um domínio do Ministério da Saúde, segundo Tr3v0r. Era possível usar um endereço com CPF no final, seguindo o padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Então, ao longo de “alguns meses”, ele rodou um script com gerador de CPF para coletar as informações correspondentes a cada número.

Tr3v0r publicou esse script no GitHub em 2015. Inclusive, existem dois relatos no Twitter — um de 2014, outro de 2016 — avisando que essa API estava aberta ao público, expondo dados como “data de nascimento e nome da mãe de cidadãos pelo CPF”. (O Serpro esclarece em comunicado ao Tecnoblog que não desenvolveu o e-SUS, ao contrário do que sugere um dos tweets.)

Tr3v0r diz que avisou o Ministério da Saúde por e-mail, em 29 de março, sobre a brecha — mas ela não foi corrigida. Esse domínio do Ministério da Saúde, que teria servido de fonte, estava disponível ainda hoje: ele permitia escolher entre Controle eSUS, Telessaúde, Vitamina A e outros Sistemas de Informação da Atenção Básica.

Depois que o vazamento foi divulgado, esse domínio saiu do ar. Ao acessá-lo, você se depara com a mensagem: “informamos que o sistema se encontra em manutenção”.

Tr3v0r diz que ainda existem mais duas APIs no domínio saude.gov.br que expõem dados do SUS e não foram descobertas até o momento. Além disso, ele alega haver outras duas APIs abertas no site do antigo Ministério do Trabalho e Emprego, pasta que foi extinta em janeiro. (Suas funções foram repassadas à Secretaria Especial de Previdência e Trabalho, subordinada ao Ministério da Economia.)

Ministério da Saúde diz que vazamento é “fake news”

Em comunicado, o Ministério da Saúde diz que “é falso o suposto vazamento de informações da base de dados de usuários do SUS (CADSUS)”. De acordo com uma análise preliminar, “não há indícios que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS”.

Além disso, o ministério diz que o DATASUS (Departamento de Informática do SUS) “reforçou as ações de segurança para assegurar a proteção dos dados dos usuários”, a fim de evitar ações fraudulentas como “vazamento indevido de informações”.

Atualizado em 12/04

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

@Sckillfer

Definição de fake news do governo: notícias com fontes legitimas/aferíveis que não gostamos do que dizem.

Igor

Mas o Facebook teve um problema idêntico a esse, onde se buscava via
API pelo celular e vinha email e coisas que pessoa deu like.
Yahoo ficou anos com sistemas com brechas.
Banco Inter recentemente também teve problemas.

Não quero defender ninguém nem ofender ninguém, estão todos errados e infelizmente isso é normal nesse meio. Mas é muito ridículo xingar pessoas que você nem sabe quem são de maneira generalista.

Paçaro

Exatamente. Isso é um inferno. Por isso que odiei trabalhar com serviço público.

Qohen Leth

Não, não é desculpa.

É só uma constatação que nem tudo é tão fácil como o pessoal pensa.

Fora a questão colocada, ainda há a burocracia do governo, os "feudos" de informação onde cada ministério quer ser o dono de seus dados, os interesses políticos (afinal, imagina a mina de ouro que é privatizar estas empresas e ficar com os dados de todos os cidadãos na mão).

Tiago Celestino

Já governo pagar youtubers com dinheiro publico... o jogo segue!

Frederico Martins

Não? 😂

Frederico Martins

Cara, eles ganham pra isso (os técnicos concursados ou contratados, e os gestores). O pior é saber que existe um SERPRO da vida e mesmo assim o TJCE contrata uma empresa custando muito pra digitalizar os processos e faz uma lambança.

ochateador

Um sub-sistema do datasus funciona apenas com firebird 1.5 e no máximo no windows 7....

ochateador

Só para Brasília, Rio de Janeiro e São Paulo. Embora se você souber pesquisar restaurantes, lojas, etc você consegue viver tranquilamente com um VR inferior a 800 nessas cidades.

richardsonvix

Super hacker que achou uma, dentre várias rotas de sistemas do governo expostos, que existem em sistemas sem segurança alguma (basta saber a rota e os parâmetros).

Zé Colmedia

Isso mesmo, foi o que eu disse.

Keaton

Algoritimo é conhecido porque é necessário para a programação... apesar de ter 11 digitos, são apenas 10^9 combinações possiveis.

Paçaro

Eu sei, eu já trabalhei em um TJ com um sistema dos anos 80. O pessoal se recusava a usar controle de versão, por exemplo. Ficava tudo na máquina de um cara só. Um sistema gigantesco.

De qualquer modo, nada disso é desculpa pra um "descuido" desses.

Qohen Leth

Depende.

O DATASUS é um sistema de informação absurdamente antigo.

Aliás, vários sistemas de informação brasileiros utilizados largamente atualmente são bastante antigos (o Brasil sempre foi bastante avançado em sistemas de informação governamentais, por incrível que pareça).

Na época que foram desenvolvidos, nem se pensava sequer em falar de "segurança de dados", "privacidade pessoal", "dados públicos x dados privados".

São conceitos que tomaram força com a popularização da Internet.

Para melhorar e portar estes sistemas não é nada fácil.
Qualquer pessoa que saiba o mínimo de desenvolvimento de software sabe que sistemas legados são um porre.
São sistemas "pé de boi", que aguenta milhões de transações, feitos em linguagens do "tempo do EPA"...

João

É muito cara, onde que você vive que ganha mais do que isso?

Exibir mais comentários