Início » Brasil » DataSUS é invadido de novo e hacker reclama: “continua uma b****”

DataSUS é invadido de novo e hacker reclama: “continua uma b****”

Sistema do Ministério da Saúde sofre invasão: hacker vaza documentos, critica equipe de TI do DataSUS e cobra ação da ANPD

Felipe VenturaPor

Os sistemas do Ministério da Saúde sofreram um novo ataque na quarta-feira (17), tendo como alvo um serviço oferecido pelo DataSUS. O invasor, que refere a si mesmo como “HACKER_SINCERO”, deixou uma mensagem com links para documentos vazados, críticas à ANPD (Autoridade Nacional de Proteção de Dados) e queixas à equipe de TI.

Fachada do Ministério da Saúde (Imagem: Marcello Casal Jr / Agência Brasil)

Fachada do Ministério da Saúde (Imagem: Marcello Casal Jr / Agência Brasil)

“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.

A invasão ao FormSUS, serviço de criação de formulários do DataSUS, é real: “houve o segundo incidente ontem”, explica o Ministério da Saúde ao Tecnoblog. Antes disso, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), havia confirmado essa informação ao Metrópoles.

RG vazado por hacker do DataSUS (Imagem: Reprodução)

RG vazado por hacker do DataSUS (Imagem: Reprodução)

O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.

“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.

CNH e dados de funcionários também vazaram (Imagem: Reprodução)

CNH e dados de funcionários também vazaram (Imagem: Reprodução)

O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.

Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.

Hacker menciona possíveis falhas do DataSUS

A mensagem do hacker (Imagem: coleciona_dor / Twitter)

O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:

  • RCE, ou execução remota de código, é uma vulnerabilidade que permite rodar código malicioso através de uma rede;
  • SQLI, ou injeção de SQL, é uma instrução que permite consultar indevidamente um banco de dados para obter informações dos usuários;
  • XSS, sigla em inglês para cross-site scripting (script entre sites), envolve injetar um código indevido – geralmente em JavaScript – em uma página da web para que seja executado no navegador do usuário, permitindo roubar dados.

A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.

Ministério da Saúde responde

Questionado pelo Tecnoblog, o Ministério da Saúde respondeu que “descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço”. Na época, este serviço do DataSUS foi alvo de um hacker que deixou um aviso: “este site está um lixo!”. Ele também disse: “favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”

Então como foi possível acontecer esse segundo incidente, se o FormSUS foi descontinuado? O ministério explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.

Além disso, o governo garante que “o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados”. O ataque é descrito como um defacement, ou seja, só teria modificado a interface da página.

Em novembro de 2020, o Ministério da Saúde também sofreu um ataque; o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.

Atualizado às 16h40 com posicionamento do Ministério da Saúde

Comentários da Comunidade

Participe da discussão
21 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Lucas Blassioli (@olucaslab)

O Governo só se preocupa com vazamentos quando envolve o c* deles, enquanto o c* deles não estiver na reta nada será feito… NADA.

Por enquanto, pode vazar os dos brasileiros todos, nosso histórico de vacinação não está em sigilo de justiça, a gente não está dando comprimido para quem morre sem ar, enquanto só for a gente, o povo em geral que estiver se ferrando, nada vai acontecer.

E bora para terceira invasão, hacker, se estiver lendo, coloca um link pro YouTube pedindo sua música pro Fantástico.

🤷‍♀️ (@xavier)

O site ser “não seguro” não quer dizer, necessariamente, que ele apresenta um risco para vazamento de dados. Esse aviso aparece porque não está sob um certificado SSL. Para ele, de fato, não ser seguro, é o quanto de dados ele puxa/exibe/pode consultar dos estudantes da universidade. Se ele apenas liga nome e senha do estudante ao que ele tem acesso de aulas, sem nenhuma outra informação, isto não é um problema.

Claro, com toda certeza, o ideal era que o site tivesse a comunicação navegador > servidor segura, mas a falta disso por si só não apresenta risco grande.

Giovani (@Giovani)

Aposto que vai ser empregado mais homen-hora pra achar o hacker sincero, do que pra consertar o problema.

Tech Nerd 🤓 (@technerd)

Estou longe de ser um especialista em segurança digital, mas a minha impressão é que um grupo hacker sozinho pode tomar de assalto todos os dados do Brasil, dos governos, das empresas e das pessoas muito facilmente.

Rindo de nervoso.

Bruno Cabral Peixoto (@Bruno_Cabral_Peixoto)

Pior que não são concursados não! São contratados (comissionados) mesmo!
Ou terceirizados.

² (@centauro)

O famoso “meu sobrinho entende de computador”.

Matheus Motta (@Matheus_Motta)

Só vão começar a fazer algo quando começarem a fazer compras usando os dados dos ministros. Até lá rezem bastante pra não pegarem os dados seus e de seus parentes, pois é a única coisa que podemos fazer