Início » Antivírus e Segurança » Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Vazamento expôs 2,4 milhões de usuários; hacker diz que dados vieram do SUS, mas Ministério da Saúde nega

Por
11/04/2019 às 20h19

Um vazamento que expôs 2,4 milhões de usuários, divulgado nesta quinta-feira (11), criou uma polêmica: o hacker diz que os dados vieram do SUS (Sistema Único de Saúde); o Ministério da Saúde nega. No entanto, indícios levantados pelo Tecnoblog apontam que as informações vieram do governo: meu cadastro foi vazado e inclui um endereço físico que eu só poderia ter usado no SUS. Além disso, o sistema que teria servido como fonte ficou exposto desde pelo menos 2014, e agora está “em manutenção”.

O hacker chamado Tr3v0r conversou com o Tecnoblog e explicou alguns detalhes adicionais. Ele diz que obteve dados de 205 milhões de pessoas, sem registros duplicados. 1% disso foi publicado em um site que está atualmente fora do ar, e que deve migrar para um domínio .onion na dark web. “Mais para a frente eu irei vazar o restante”, conta ele.

Em fevereiro, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Os dados incluem CPF, nome completo, nome da mãe, data de nascimento, localidade, número (do imóvel), complemento, bairro, CEP, cidade e estado.

Pedi para Tr3v0r encontrar meus dados a partir do nome completo. O CPF está correto, assim como a data de nascimento e o nome da minha mãe — isso não prova muita coisa, já que essas informações já devem ter vazado antes.

A parte mais importante é o meu endereço cadastrado, que provavelmente só consta nos sistemas do SUS. Ele pertence a uma família que eu conhecia em São Gonçalo (RJ) e nunca foi usado para correspondências nem contratos. Eu me mudei em 2011 para Niterói, cidade vizinha, e passei alguns meses sem plano de saúde válido no estado.

Domínio do Ministério da Saúde expôs dados desde 2014

Os dados foram obtidos através de uma API em um domínio do Ministério da Saúde, segundo Tr3v0r. Era possível usar um endereço com CPF no final, seguindo o padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Então, ao longo de “alguns meses”, ele rodou um script com gerador de CPF para coletar as informações correspondentes a cada número.

Tr3v0r publicou esse script no GitHub em 2015. Inclusive, existem dois relatos no Twitter — um de 2014, outro de 2016 — avisando que essa API estava aberta ao público, expondo dados como “data de nascimento e nome da mãe de cidadãos pelo CPF”. (O Serpro esclarece em comunicado ao Tecnoblog que não desenvolveu o e-SUS, ao contrário do que sugere um dos tweets.)

Tr3v0r diz que avisou o Ministério da Saúde por e-mail, em 29 de março, sobre a brecha — mas ela não foi corrigida. Esse domínio do Ministério da Saúde, que teria servido de fonte, estava disponível ainda hoje: ele permitia escolher entre Controle eSUS, Telessaúde, Vitamina A e outros Sistemas de Informação da Atenção Básica.

Depois que o vazamento foi divulgado, esse domínio saiu do ar. Ao acessá-lo, você se depara com a mensagem: “informamos que o sistema se encontra em manutenção”.

Tr3v0r diz que ainda existem mais duas APIs no domínio saude.gov.br que expõem dados do SUS e não foram descobertas até o momento. Além disso, ele alega haver outras duas APIs abertas no site do antigo Ministério do Trabalho e Emprego, pasta que foi extinta em janeiro. (Suas funções foram repassadas à Secretaria Especial de Previdência e Trabalho, subordinada ao Ministério da Economia.)

Ministério da Saúde diz que vazamento é “fake news”

Em comunicado, o Ministério da Saúde diz que “é falso o suposto vazamento de informações da base de dados de usuários do SUS (CADSUS)”. De acordo com uma análise preliminar, “não há indícios que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS”.

Além disso, o ministério diz que o DATASUS (Departamento de Informática do SUS) “reforçou as ações de segurança para assegurar a proteção dos dados dos usuários”, a fim de evitar ações fraudulentas como “vazamento indevido de informações”.

Atualizado em 12/04