SUS é alvo de vazamento com dados de 2,4 milhões de usuários

A brecha para o vazamento estaria em uma API que permite acessar dados de usuários do SUS

Victor Hugo Silva
• Atualizado há 3 anos

As informações de cerca de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foram expostas nesta quinta-feira (11). O vazamento envolve um banco de dados com nome, nome da mãe, endereço, CPF e data de nascimento de pessoas cadastradas no serviço.

A ação foi noticicada pelo UOL, que foi informado pelo autor do vazamento de que os dados seriam publicados em um site. Segundo a reportagem, o responsável teria alertado o Ministério da Saúde em março a respeito da falha de segurança, mas nenhuma providência teria sido tomada.

A brecha estaria em uma API, que permite consultar dados de usuários do SUS a partir do número do cartão do serviço e uma senha. Após a solicitação, a API gera um endereço como “consulta.php?cpf=xxx.xxx.xxx.xx”.

Ao substituir o trecho final pelos 11 dígitos do CPF, foi possível ter acesso aos dados. O autor do vazamento testou outras combinações válidas do documento e conseguiu ter acesso a uma quantidade significativa de dados.

A ação é reivindicada por Tr3v0r, que afirma ter reunido 205 milhões de dados pessoais que estavam em posse do SUS. Ele parece se referir a informações como nome e data de nascimento de uma pessoa como dados diferentes, o que leva a este número.

A resposta do Ministério da Saúde

Procurado pelo Tecnoblog, o Ministério da Saúde nega o vazamento de informações e afirmou ter encaminhado uma denúncia à Polícia Federal para a abertura de uma investigação criminal.

“Cabe ressaltar que, após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS, pois foram realizadas consultas e não encontramos estes registros em nossa base nacional”, diz a nota.

O ministério afirma ainda que “o Departamento de Informática do SUS (DATASUS) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários”.

“O Ministério da Saúde tem implementado processos cada vez mais rígidos para a identificação dos profissionais que acessam diariamente os sistemas de informação, objetivando coibir ações fraudulentas, tais como vazamento indevido de informações e credencias de acesso”, conclui.

Com informações: DefCon-Lab.

Atualizado às 16h10 com o posicionamento do Ministério da Saúde.

Leia | Como marcar consulta pelo aplicativo do SUS [Conecte SUS]

Relacionados

Escrito por

Victor Hugo Silva

Victor Hugo Silva

Ex-autor

Victor Hugo Silva é formado em jornalismo, mas começou sua carreira em tecnologia como desenvolvedor front-end, fazendo programação de sites institucionais. Neste escopo, adquiriu conhecimento em HTML, CSS, PHP e MySQL. Como repórter, tem passagem pelo iG e pelo G1, o portal de notícias da Globo. No Tecnoblog, foi autor, escrevendo sobre eletrônicos, redes sociais e negócios, entre 2018 e 2021.