Após poucos dias em que um erro humano expôs dados de 16 milhões de brasileiros, uma nova falha no sistema segurança de notificações de covid-19 do Ministério da Saúde expôs dados de 243 milhões de brasileiros na internet, de acordo com reportagem do jornal “O Estado de São Paulo”. Desta vez o vazamento não se restringiu apenas às informações de pacientes diagnosticados com coronavírus. Todos os cidadãos brasileiros que são cadastrados no Sistema Único de Saúde (SUS) ou beneficiários de algum plano privado tiveram sua privacidade violada.
Os dados vazados incluíam número do CPF, nome completo, endereço e telefone. A quantidade de registros expostos é maior que o da atual população brasileira, porque contém dados de pessoas que já morreram.
De acordo com a reportagem, o vazamento foi causado pela exposição indevida de login e senha de acesso ao sistema do Ministério da Saúde, mesma falha que expôs 16 milhões de pacientes que tiveram Covid-19 na semana passada.
A reportagem do Security Report procurou o Ministério da Saúde, no qual informou por meio de nota oficial que os incidentes reportados estão sendo investigados a fim de apurar a responsabilidade da exposição de base cadastral da pasta. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido.
Além disso, o Ministério da Saúde disse que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.
Esta não é a primeira vez que o Ministério da Saúde expõe dados de milhões de brasileiros. Na semana passada, um cientista de dados do Hospital Albert Einstein, que trabalhava em um projeto em conjunto com o Ministério da Saúde, expôs dados pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19.
Com acesso privilegiado, o profissional fez “commit no GitHub” das pastas do código fonte que ele estava trabalhando. Dentro de uma destas pastas, havia uma planilha com senhas de acesso ao sistema da pasta. Com essas senhas, era possível acessar registros relacionados à Covid-19 em dois sistemas do governo federal: um com notificações de casos suspeitos e confirmados da doença e outro com as internações por síndrome respiratória aguda grave (SRAG), além de dados pessoais como CPF, endereço, telefone e doenças preexistentes.
A Security Report disponibiliza na íntegra a nota oficial do Ministério da Saúde
O Ministério da Saúde informa que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.
Os dados registrados através de notificações informadas por estados e municípios no e-SUS Notifica não foram acessados nem expostos, pois existem camadas de segurança que garantem a privacidade da plataforma. Os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do MS. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido. Ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido.
Com relação aos procedimentos de execução, a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização – em que há obrigações e exigências legais – , acompanhadas e fiscalizadas por servidores da casa.
Ressaltamos que as informações referente aos contratos podem ser encontradas no Portal do Tesouro Nacional, no link https://contratos.comprasnet.
Por fim, o Departamento de Informática do SUS (DATASUS) agradece o empenho da sociedade em identificar problemas ou vulnerabilidades, e que tomou as medidas necessárias para sanar a questão.
