Nova falha no sistema de segurança do Ministério da Saúde expõe dados de 243 milhões de brasileiros

O vazamento não se restringiu a pacientes com Covid-19. Todos os cidadãos cadastrados no SUS tiveram sua privacidade violada. O número de registros expostos é maior do que a atual população brasileira

Compartilhar:

Após poucos dias em que um erro humano expôs dados de 16 milhões de brasileiros, uma nova falha no sistema segurança de notificações de covid-19 do Ministério da Saúde expôs dados de 243 milhões de brasileiros na internet, de acordo com reportagem do jornal “O Estado de São Paulo”. Desta vez o vazamento não se restringiu apenas às informações de pacientes diagnosticados com coronavírus. Todos os cidadãos brasileiros que são cadastrados no Sistema Único de Saúde (SUS) ou beneficiários de algum plano privado tiveram sua privacidade violada.

 

Os dados vazados incluíam número do CPF, nome completo, endereço e telefone. A quantidade de registros expostos é maior que o da atual população brasileira, porque contém dados de pessoas que já morreram.

 

De acordo com a reportagem, o vazamento foi causado pela exposição indevida de login e senha de acesso ao sistema do Ministério da Saúde, mesma falha que expôs 16 milhões de pacientes que tiveram Covid-19 na semana passada.

 

A reportagem do Security Report procurou o Ministério da Saúde, no qual informou por meio de nota oficial que os incidentes reportados estão sendo investigados a fim de apurar a responsabilidade da exposição de base cadastral da pasta. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido.

 

Além disso, o Ministério da Saúde disse que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.

 

Esta não é a primeira vez que o Ministério da Saúde expõe dados de milhões de brasileiros. Na semana passada, um cientista de dados do Hospital Albert Einstein, que trabalhava em um projeto em conjunto com o Ministério da Saúde, expôs dados pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19. 

 

Com acesso privilegiado, o profissional fez “commit no GitHub” das pastas do código fonte que ele estava trabalhando. Dentro de uma destas pastas, havia uma planilha com senhas de acesso ao sistema da pasta. Com essas senhas, era possível acessar registros relacionados à Covid-19 em dois sistemas do governo federal: um com notificações de casos suspeitos e confirmados da doença e outro com as internações por síndrome respiratória aguda grave (SRAG), além de dados pessoais como CPF, endereço, telefone e doenças preexistentes.

 

A Security Report disponibiliza na íntegra a nota oficial do Ministério da Saúde

 

O Ministério da Saúde informa que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.

 

Os dados registrados através de notificações informadas por estados e municípios no e-SUS Notifica não foram acessados nem expostos, pois existem camadas de segurança que garantem a privacidade da plataforma. Os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do MS. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido. Ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido.

 

Com relação aos procedimentos de execução, a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização – em que há obrigações e exigências legais – , acompanhadas e fiscalizadas por servidores da casa.

 

Ressaltamos que as informações referente aos contratos podem ser encontradas no Portal do Tesouro Nacional, no link https://contratos.comprasnet.gov.br/transparencia/contratos .

 

Por fim, o Departamento de Informática do SUS (DATASUS) agradece o empenho da sociedade em identificar problemas ou vulnerabilidades, e que tomou as medidas necessárias para sanar a questão.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Embasa acelera transformação digital e aposta em conectividade segura fim a fim

A companhia apresentou sua estratégia de modernização da infraestrutura de TI, com foco em Segurança, escalabilidade e alta disponibilidade para...
Security Report | Destaques

ATUALIZADO: Painel de incidentes destaca ocorrências mais recentes

O Painel de Ataques foi atualizado com os casos de incidentes e seus desdobramentos, envolvendo organizações como o Grupo Kering,...
Security Report | Destaques

Jaguar Land Rover adia retomada das atividades após ciberataque

Montadora afirma que investigação forense do incidente ainda não foi concluída e a recuperação das atividades ao nível global segue...
Security Report | Destaques

Grupo Kering sofre suposto ciberataque com vazamento de dados

Empresa controladora de marcas de luxo como Gucci, Balenciaga e Alexander McQueen confirmou a agências internacionais de notícias que informações...