DataSUS é invadido de novo e hacker reclama: “continua uma b****”
Sistema do Ministério da Saúde sofre invasão: hacker vaza documentos, critica equipe de TI do DataSUS e cobra ação da ANPD
Sistema do Ministério da Saúde sofre invasão: hacker vaza documentos, critica equipe de TI do DataSUS e cobra ação da ANPD
Os sistemas do Ministério da Saúde sofreram um novo ataque na quarta-feira (17), tendo como alvo um serviço oferecido pelo DataSUS. O invasor, que refere a si mesmo como “HACKER_SINCERO”, deixou uma mensagem com links para documentos vazados, críticas à ANPD (Autoridade Nacional de Proteção de Dados) e queixas à equipe de TI.
“O site continua uma b****, nada foi feito, a única ação foi colocar um aviso que o responsável pelos dados confidenciais expostos é quem fez o formulário e não leu os termos”, diz a mensagem publicada no Twitter pela conta @coleciona_dor.
A invasão ao FormSUS, serviço de criação de formulários do DataSUS, é real: “houve o segundo incidente ontem”, explica o Ministério da Saúde ao Tecnoblog. Antes disso, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), havia confirmado essa informação ao Metrópoles.
O aviso do hacker traz links para cinco imagens, todas com dados pessoais censurados: um RG registrado em Mato Grosso; uma carteira de motorista, também de MT; uma lista com nomes de funcionários; um print com CPF, telefone e e-mail de dois funcionários; e uma tabela com estatísticas de formulários preenchidos do DataSUS, atualizada até o mês de janeiro de 2021.
“Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá… e olha que o salário é muito bom!”, ironiza o invasor. Ele também diz, em tom de ameaça: “arrumem este site porco ou na próxima vão vazar os dados dos responsáveis por esta porcaria”.
O hacker deixou uma reclamação para a autoridade responsável por aplicar a LGPD (Lei Geral de Proteção de Dados Pessoais): “ANPD, como vocês deixaram isto ir ao ar assim??? Se for começar deste jeito pode parar e devolve nosso dinheiro!!!”.
Ele também criticou os “hackers sem vergonha” que estariam vendendo informações do DataSUS: “o custo para arrumar isto vai sair do seu bolso!”.
O aviso menciona três siglas, que seriam três tipos de problemas nos sistemas do DataSUS:
A mensagem também diz que “isto aqui é uma verdadeira CTF”. Esta é a sigla para Capture The Flag, tipo de competição em que hackers disputam entre si para encontrar e explorar (ou consertar) uma falha de segurança.
Questionado pelo Tecnoblog, o Ministério da Saúde respondeu que “descontinuou o FormSUS em 28 de janeiro, após ter identificado uso inadequado do serviço”. Na época, este serviço do DataSUS foi alvo de um hacker que deixou um aviso: “este site está um lixo!”. Ele também disse: “favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!”
Então como foi possível acontecer esse segundo incidente, se o FormSUS foi descontinuado? O ministério explica que a plataforma “esteve disponível aos gestores para que pudessem realizar o download dos formulários e já foi retirada do ar permanentemente”.
Além disso, o governo garante que “o incidente de segurança registrado no FormSUS não teve impacto no vazamento de dados”. O ataque é descrito como um defacement, ou seja, só teria modificado a interface da página.
Em novembro de 2020, o Ministério da Saúde também sofreu um ataque; o DataSUS desativou acesso a algumas redes de forma preventiva, impedindo o uso do e-mail e de alguns sistemas internos do SUS.
Atualizado às 16h40 com posicionamento do Ministério da Saúde
{{ excerpt | truncatewords: 55 }}
{% endif %}