Início / Notícias / Brasil /

DataSUS é invadido de novo e hacker reclama: “continua uma b****”

Sistema do Ministério da Saúde sofre invasão: hacker vaza documentos, critica equipe de TI do DataSUS e cobra ação da ANPD

Felipe Ventura

Por

Notícia
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

Os sistemas do Ministério da Saúde sofreram um novo ataque na quarta-feira (17), tendo como alvo um serviço oferecido pelo DataSUS. O invasor, que refere a si mesmo como “HACKER_SINCERO”, deixou uma mensagem com links para documentos vazados, críticas à ANPD (Autoridade Nacional de Proteção de Dados) e queixas à equipe de TI.

Fachada do Ministério da Saúde (Imagem: Marcello Casal Jr / Agência Brasil)

Fachada do Ministério da Saúde (Imagem: Marcello Casal Jr / Agência Brasil)

“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.

A invasão ao FormSUS, serviço de criação de formulários do DataSUS, é real: “houve o segundo incidente ontem”, explica o Ministério da Saúde ao Tecnoblog. Antes disso, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), havia confirmado essa informação ao Metrópoles.

RG vazado por hacker do DataSUS (Imagem: Reprodução)

RG vazado por hacker do DataSUS (Imagem: Reprodução)

O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.

“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.

CNH e dados de funcionários também vazaram (Imagem: Reprodução)

CNH e dados de funcionários também vazaram (Imagem: Reprodução)

O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.

Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.

Hacker menciona possíveis falhas do DataSUS

A mensagem do hacker (Imagem: coleciona_dor / Twitter)

O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:

  • RCE, ou execução remota de código, é uma vulnerabilidade que permite rodar código malicioso através de uma rede;
  • SQLI, ou injeção de SQL, é uma instrução que permite consultar indevidamente um banco de dados para obter informações dos usuários;
  • XSS, sigla em inglês para cross-site scripting (script entre sites), envolve injetar um código indevido – geralmente em JavaScript – em uma página da web para que seja executado no navegador do usuário, permitindo roubar dados.

A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.

Ministério da Saúde responde

Questionado pelo Tecnoblog, o Ministério da Saúde respondeu que “descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço”. Na época, este serviço do DataSUS foi alvo de um hacker que deixou um aviso: “este site está um lixo!”. Ele também disse: “favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”

Então como foi possível acontecer esse segundo incidente, se o FormSUS foi descontinuado? O ministério explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.

Além disso, o governo garante que “o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados”. O ataque é descrito como um defacement, ou seja, só teria modificado a interface da página.

Em novembro de 2020, o Ministério da Saúde também sofreu um ataque; o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.

Atualizado às 16h40 com posicionamento do Ministério da Saúde