Início » Antivírus e Segurança » Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Ministério da Saúde expôs dados pessoais do SUS desde pelo menos 2014

Vazamento expôs 2,4 milhões de usuários; hacker diz que dados vieram do SUS, mas Ministério da Saúde nega

Felipe Ventura Por

Um vazamento que expôs 2,4 milhões de usuários, divulgado nesta quinta-feira (11), criou uma polêmica: o hacker diz que os dados vieram do SUS (Sistema Único de Saúde); o Ministério da Saúde nega. No entanto, indícios levantados pelo Tecnoblog apontam que as informações vieram do governo: meu cadastro foi vazado e inclui um endereço físico que eu só poderia ter usado no SUS. Além disso, o sistema que teria servido como fonte ficou exposto desde pelo menos 2014, e agora está "em manutenção".

O hacker chamado Tr3v0r conversou com o Tecnoblog e explicou alguns detalhes adicionais. Ele diz que obteve dados de 205 milhões de pessoas, sem registros duplicados. 1% disso foi publicado em um site que está atualmente fora do ar, e que deve migrar para um domínio .onion na dark web. "Mais para a frente eu irei vazar o restante", conta ele.

Em fevereiro, Tr3v0r tuitou que iria divulgar 2.396.514 registros únicos coletados do SUS. Os dados incluem CPF, nome completo, nome da mãe, data de nascimento, localidade, número (do imóvel), complemento, bairro, CEP, cidade e estado.

Pedi para Tr3v0r encontrar meus dados a partir do nome completo. O CPF está correto, assim como a data de nascimento e o nome da minha mãe — isso não prova muita coisa, já que essas informações já devem ter vazado antes.

A parte mais importante é o meu endereço cadastrado, que provavelmente só consta nos sistemas do SUS. Ele pertence a uma família que eu conhecia em São Gonçalo (RJ) e nunca foi usado para correspondências nem contratos. Eu me mudei em 2011 para Niterói, cidade vizinha, e passei alguns meses sem plano de saúde válido no estado.

Domínio do Ministério da Saúde expôs dados desde 2014

Os dados foram obtidos através de uma API em um domínio do Ministério da Saúde, segundo Tr3v0r. Era possível usar um endereço com CPF no final, seguindo o padrão "consulta.php?cpf=xxx.xxx.xxx.xx". Então, ao longo de "alguns meses", ele rodou um script com gerador de CPF para coletar as informações correspondentes a cada número.

Tr3v0r publicou esse script no GitHub em 2015. Inclusive, existem dois relatos no Twitter — um de 2014, outro de 2016 — avisando que essa API estava aberta ao público, expondo dados como "data de nascimento e nome da mãe de cidadãos pelo CPF". (O Serpro esclarece em comunicado ao Tecnoblog que não desenvolveu o e-SUS, ao contrário do que sugere um dos tweets.)

Tr3v0r diz que avisou o Ministério da Saúde por e-mail, em 29 de março, sobre a brecha — mas ela não foi corrigida. Esse domínio do Ministério da Saúde, que teria servido de fonte, estava disponível ainda hoje: ele permitia escolher entre Controle eSUS, Telessaúde, Vitamina A e outros Sistemas de Informação da Atenção Básica.

Depois que o vazamento foi divulgado, esse domínio saiu do ar. Ao acessá-lo, você se depara com a mensagem: "informamos que o sistema se encontra em manutenção".

Tr3v0r diz que ainda existem mais duas APIs no domínio saude.gov.br que expõem dados do SUS e não foram descobertas até o momento. Além disso, ele alega haver outras duas APIs abertas no site do antigo Ministério do Trabalho e Emprego, pasta que foi extinta em janeiro. (Suas funções foram repassadas à Secretaria Especial de Previdência e Trabalho, subordinada ao Ministério da Economia.)

Ministério da Saúde diz que vazamento é "fake news"

Em comunicado, o Ministério da Saúde diz que "é falso o suposto vazamento de informações da base de dados de usuários do SUS (CADSUS)". De acordo com uma análise preliminar, "não há indícios que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde - CNS".

Além disso, o ministério diz que o DATASUS (Departamento de Informática do SUS) "reforçou as ações de segurança para assegurar a proteção dos dados dos usuários", a fim de evitar ações fraudulentas como "vazamento indevido de informações".

Atualizado em 12/04

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

@Sckillfer
Definição de fake news do governo: notícias com fontes legitimas/aferíveis que não gostamos do que dizem.
Igor
Mas o Facebook teve um problema idêntico a esse, onde se buscava via API pelo celular e vinha email e coisas que pessoa deu like.Yahoo ficou anos com sistemas com brechas.Banco Inter recentemente também teve problemas.Não quero defender ninguém nem ofender ninguém, estão todos errados e infelizmente isso é normal nesse meio. Mas é muito ridículo xingar pessoas que você nem sabe quem são de maneira generalista.
Paçaro
Exatamente. Isso é um inferno. Por isso que odiei trabalhar com serviço público.
Qohen Leth
Não, não é desculpa.É só uma constatação que nem tudo é tão fácil como o pessoal pensa.Fora a questão colocada, ainda há a burocracia do governo, os "feudos" de informação onde cada ministério quer ser o dono de seus dados, os interesses políticos (afinal, imagina a mina de ouro que é privatizar estas empresas e ficar com os dados de todos os cidadãos na mão).
Tiago Celestino
Já governo pagar youtubers com dinheiro publico... o jogo segue!
Frederico Martins
Não? 😂
Frederico Martins
Cara, eles ganham pra isso (os técnicos concursados ou contratados, e os gestores). O pior é saber que existe um SERPRO da vida e mesmo assim o TJCE contrata uma empresa custando muito pra digitalizar os processos e faz uma lambança.
ochateador
Um sub-sistema do datasus funciona apenas com firebird 1.5 e no máximo no windows 7....
ochateador
Só para Brasília, Rio de Janeiro e São Paulo. Embora se você souber pesquisar restaurantes, lojas, etc você consegue viver tranquilamente com um VR inferior a 800 nessas cidades.
richardsonvix
Super hacker que achou uma, dentre várias rotas de sistemas do governo expostos, que existem em sistemas sem segurança alguma (basta saber a rota e os parâmetros).
Zé Colmedia
Isso mesmo, foi o que eu disse.
Keaton
Algoritimo é conhecido porque é necessário para a programação... apesar de ter 11 digitos, são apenas 10^9 combinações possiveis.
Paçaro
Eu sei, eu já trabalhei em um TJ com um sistema dos anos 80. O pessoal se recusava a usar controle de versão, por exemplo. Ficava tudo na máquina de um cara só. Um sistema gigantesco.De qualquer modo, nada disso é desculpa pra um "descuido" desses.
Qohen Leth
Depende.O DATASUS é um sistema de informação absurdamente antigo.Aliás, vários sistemas de informação brasileiros utilizados largamente atualmente são bastante antigos (o Brasil sempre foi bastante avançado em sistemas de informação governamentais, por incrível que pareça).Na época que foram desenvolvidos, nem se pensava sequer em falar de "segurança de dados", "privacidade pessoal", "dados públicos x dados privados".São conceitos que tomaram força com a popularização da Internet.Para melhorar e portar estes sistemas não é nada fácil.Qualquer pessoa que saiba o mínimo de desenvolvimento de software sabe que sistemas legados são um porre.São sistemas "pé de boi", que aguenta milhões de transações, feitos em linguagens do "tempo do EPA"...
João
É muito cara, onde que você vive que ganha mais do que isso?
Qohen Leth
Deveriam colocar todos os dados no SERPRO e centralizar as informações lá já que 95% dos dados dos brasileiros já estão sob domínio desta empresa.
Paçaro
Mesmo que o algoritmo não fosse conhecido. Bota lá um força bruta e vai só esperando os dados entrarem. Demora mas é de boa. 10 minutinhos faço um script pra consultar essa porra aí.
Zé Colmedia
Eu fiz a cagada de pôr meus dados lá e ainda incentivei outras pessoas a fazerem o mesmo. Que burrada fiz. Nunca mais exponho meus dados pro governo. Pelo menos Online.
Keaton
Quem krl faz uma API aberta cuja unica coisa que pede é o número de CPF (que pode ser fácilmente gerada, o algoritimo do CPF é bem conhecido) e dá acesso à todos os dados de uma pessoa...? oh for fuck's sake...Claro que o Ministério da Saúde não iria admitir a cagada. No Brasil ninguém admite coisa nenhuma.
Paçaro
Pra Curitiba é um absurdo de alto. Agora SP, por exemplo, já não sei.
Michel
800VR não é pouco não? kkk
doorspaulo
Trabalhei com software de saúde por alguns anos, e tinha integração com o CadSUS.A segurança era ridícula, e eu sempre comentava "como que ninguém fez um dump disso?".Pronto, fizeram.
Daniel R. Pinheiro
A gente vê governo mentir na TV desde 1989. Só o meio de comunicação que mudou...
Lucas Santos
E só fez um cursinho por email quando já estava no cargo.
Junior Sousa
"Fake news"...é só o que sabem dizer.
Paçaro
Governo só não mente no zap
tuneman
Jura que o Ministério e essa DATASUS vão assumir o vazamento?!?! hahaha
Lucca
Já vi gov
Paçaro
O mais "engraçado" é que provavelmente quem escreveu essa belezura de API super segura deve ser um cara que passou num concurso pra "analista de processamento de dados" em 1998 e deve ganhar 18k por mês + 1200 VA + 800 VR.