Início » Antivírus e Segurança » Ministério da Saúde expõe dados de 243 milhões de pessoas

Ministério da Saúde expõe dados de 243 milhões de pessoas

Problema dava acesso a dados no SUS; falha foi causada por inserção de login e senha em código de site do Ministério da Saúde

Emerson AlecrimPor

O Ministério da Saúde está envolvido em mais um escândalo de segurança digital. Uma falha no e-SUS Notifica, sistema de notificações sobre COVID-19 mantido pelo órgão, permitiu que dados sigilosos de mais de 200 milhões de brasileiros ficassem expostos na internet por pelo menos seis meses.

Na semana passada, veio à tona um vazamento de senhas no Ministério da Saúde que expôs dados de 16 milhões de pessoas. O problema foi causado por um cientista de dados externo que afirma ter publicado a lista de senhas no GitHub para fazer um teste e esquecido de removê-la posteriormente.

Ministério da Saúde (imagem: Facebook/Ministério da Saúde)

Ministério da Saúde (imagem: Facebook/Ministério da Saúde)

Revelada pelo Estadão, a descoberta mais recente é muito mais grave, pois expôs dados de 243 milhões de cidadãos cadastrados no SUS (como nome completo, endereço, telefone e CPF). O número de registros supera o de habitantes no Brasil (estimado em 210 milhões) por também conter dados de pessoas falecidas.

Ficaram vulneráveis até mesmo dados de autoridades, incluindo o presidente Jair Bolsonaro (sem partido), o presidente da Câmara Rodrigo Maia (DEM-RJ) e o senador Davi Alcolumbre (DEM-AP).

Novamente, o problema foi causado por um tratamento inadequado de senhas, não por vulnerabilidades sistêmicas. Credenciais (login e senha) de acesso ao sistema foram inseridos no código-fonte do site e podiam ser acessados a partir do modo de inspeção existente nos navegadores.

As credenciais foram codificadas via Base64, método que pode ser decodificado facilmente e, por isso, não funciona para proteger dados sigilosos.

Questionado sobre o problema, o Ministério da Saúde corrigiu a falha e informou ao Estadão que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”.

O veículo também constatou que o e-SUS Notifica foi desenvolvido por uma empresa de tecnologia chamada Zello (antiga MBA Mobi) que, de acordo com dados do Portal da Transparência, recebeu mais de R$ 43 milhões do governo desde 2017.

Quando questionado sobre contratar uma empresa para desenvolver o sistema mesmo com o órgão podendo recorrer ao Datasus para isso, o Ministério da Saúde informou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que esses serviços são fiscalizados “por servidores da casa”.

Comentários da Comunidade

Participe da discussão
12 usuários participando

Os mais notáveis

Comentários com a maior pontuação

José Vieira (@Jose_Vieira)

Padrão Estadão de informação, rs… 243 milhões de pessoas, cadastradas no Sus. Bem, o cadastro não é automático depende da busca pelo cidadão pelo Cartão SUS; mesmo que todo brasileiro já tivesse um Cartão SUS, a população em 2020 está estimada em 211,6 milhões de habitantes, (IBGE).

LekyChan (@LekyChan)

Normal, já peguei erro no site dos correios que mostrava a senha do banco de dados deles também, e a senha era ridícula de fácil, no nível 123456.

josias rodrigues (@thejorsias)

Não podem existir dados de pessoas falecidas?

André (@andre00)

Provavelmente a lista inclui todos os cadastros, inclusive de pessoas que já morreram.

Bruno Peres Vieira (@bvieira)

Mas e as pessoas que não estão vivas atualmente? Elas não são removidas dos bancos de dados kkkkkk

josias rodrigues (@thejorsias)

Vc acha que o banco apaga todas as informações do cliente assim que ele morre? kkkkk

Douglas N. (@dougeureka)

arminha resolve

John Smith (@john)

Tinha uma chance de ficar calado e não falar merda… mas jogou ela fora.

🤷‍♀️ (@xavier)

Podia ter lido a matéria, mas achou que ia hitar ao fazer um comentário.
Só conseguiu passar vergonha mesmo.

Lucas (@Lucas)

Padrão minion de comentário.

ochateador (@ochateador)

Aposto que você não conhece uma certa lei, deixa explicar.
Por lei federal, as informações de saúde das pessoas precisam ser armazenadas por um certo período de tempo.

Se a empresa armazenar em papel, o papel deve ser guardado em perfeito estado por 30 anos.
Se a empresa armazenar em meios digitais, os dados devem ser armazenados de forma eterna.

Dessa forma, o banco de dados só irá crescer e sempre terá mais pessoas cadastradas do que pessoas vivas.

Felipe Silva (@Felipe_Silva)

Melhor piada foi o ultimo paragrafo, como se alguém auditasse a qualidade dos serviços terceirizados no Brasil.

https://tecnoblog.net/?post_type=post&p=404942