DataSUS é invadido de novo e hacker reclama: “continua uma b****”

Os sistemas do Ministério da Saúde sofreram um novo ataque na quarta-feira (17), tendo como alvo um serviço oferecido pelo DataSUS. O invasor, que refere a si mesmo como “HACKER_SINCERO”, deixou uma mensagem com links para documentos vazados, críticas à ANPD (Autoridade Nacional de Proteção de Dados) e queixas à equipe de TI.

“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.

A invasão ao FormSUS, serviço de criação de formulários do DataSUS, é real: “houve o segundo incidente ontem”, explica o Ministério da Saúde ao Tecnoblog. Antes disso, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), havia confirmado essa informação ao Metrópoles.

O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.

“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.

O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.

Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.

Hacker menciona possíveis falhas do DataSUS

O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:

• RCE, ou execução remota de código, é uma vulnerabilidade que permite rodar código malicioso através de uma rede;
• SQLI, ou injeção de SQL, é uma instrução que permite consultar indevidamente um banco de dados para obter informações dos usuários;
• XSS, sigla em inglês para cross-site scripting (script entre sites), envolve injetar um código indevido – geralmente em JavaScript – em uma página da web para que seja executado no navegador do usuário, permitindo roubar dados.

A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.

Ministério da Saúde responde

Questionado pelo Tecnoblog, o Ministério da Saúde respondeu que “descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço”. Na época, este serviço do DataSUS foi alvo de um hacker que deixou um aviso: “este site está um lixo!”. Ele também disse: “favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”

Então como foi possível acontecer esse segundo incidente, se o FormSUS foi descontinuado? O ministério explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.

Além disso, o governo garante que “o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados”. O ataque é descrito como um defacement, ou seja, só teria modificado a interface da página.

Em novembro de 2020, o Ministério da Saúde também sofreu um ataque; o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.

Atualizado às 16h40 com posicionamento do Ministério da Saúde

Receba mais sobre DataSUS na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade