Nova falha no sistema de segurança do Ministério da Saúde expõe dados de 243 milhões de brasileiros

O vazamento não se restringiu a pacientes com Covid-19. Todos os cidadãos cadastrados no SUS tiveram sua privacidade violada. O número de registros expostos é maior do que a atual população brasileira

Compartilhar:

Após poucos dias em que um erro humano expôs dados de 16 milhões de brasileiros, uma nova falha no sistema segurança de notificações de covid-19 do Ministério da Saúde expôs dados de 243 milhões de brasileiros na internet, de acordo com reportagem do jornal “O Estado de São Paulo”. Desta vez o vazamento não se restringiu apenas às informações de pacientes diagnosticados com coronavírus. Todos os cidadãos brasileiros que são cadastrados no Sistema Único de Saúde (SUS) ou beneficiários de algum plano privado tiveram sua privacidade violada.

 

Os dados vazados incluíam número do CPF, nome completo, endereço e telefone. A quantidade de registros expostos é maior que o da atual população brasileira, porque contém dados de pessoas que já morreram.

 

De acordo com a reportagem, o vazamento foi causado pela exposição indevida de login e senha de acesso ao sistema do Ministério da Saúde, mesma falha que expôs 16 milhões de pacientes que tiveram Covid-19 na semana passada.

 

A reportagem do Security Report procurou o Ministério da Saúde, no qual informou por meio de nota oficial que os incidentes reportados estão sendo investigados a fim de apurar a responsabilidade da exposição de base cadastral da pasta. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido.

 

Além disso, o Ministério da Saúde disse que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.

 

Esta não é a primeira vez que o Ministério da Saúde expõe dados de milhões de brasileiros. Na semana passada, um cientista de dados do Hospital Albert Einstein, que trabalhava em um projeto em conjunto com o Ministério da Saúde, expôs dados pessoais de pacientes com diagnósticos suspeitos ou confirmados de Covid-19. 

 

Com acesso privilegiado, o profissional fez “commit no GitHub” das pastas do código fonte que ele estava trabalhando. Dentro de uma destas pastas, havia uma planilha com senhas de acesso ao sistema da pasta. Com essas senhas, era possível acessar registros relacionados à Covid-19 em dois sistemas do governo federal: um com notificações de casos suspeitos e confirmados da doença e outro com as internações por síndrome respiratória aguda grave (SRAG), além de dados pessoais como CPF, endereço, telefone e doenças preexistentes.

 

A Security Report disponibiliza na íntegra a nota oficial do Ministério da Saúde

 

O Ministério da Saúde informa que possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições.

 

Os dados registrados através de notificações informadas por estados e municípios no e-SUS Notifica não foram acessados nem expostos, pois existem camadas de segurança que garantem a privacidade da plataforma. Os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do MS. Vale lembrar que o conteúdo ofensivo identificado já foi corrigido. Ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido.

 

Com relação aos procedimentos de execução, a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização – em que há obrigações e exigências legais – , acompanhadas e fiscalizadas por servidores da casa.

 

Ressaltamos que as informações referente aos contratos podem ser encontradas no Portal do Tesouro Nacional, no link https://contratos.comprasnet.gov.br/transparencia/contratos .

 

Por fim, o Departamento de Informática do SUS (DATASUS) agradece o empenho da sociedade em identificar problemas ou vulnerabilidades, e que tomou as medidas necessárias para sanar a questão.

 

Conteúdos Relacionados

Security Report | Destaques

Grupo Energisa combate fraudes com tecnologia e colaboração estratégica

Projeto multidisciplinar, com apoio da Akamai, revoluciona combate a fraudes digitais e amplia proteção de canais. Case de sucesso foi...
Security Report | Destaques

Meta encerra checagem de fatos: especialistas alertam para riscos à Cibersegurança

A Big Tech anunciou mudanças extensas em seu programa de checagem de fatos, levando a Advocacia Geral da União a...
Security Report | Destaques

Ecossistema inseguro e IA colocam em xeque a Cibersegurança, diz o Fórum Econômico

Relatório Global Cybersecurity Outlook, publicado nesta semana pelo Fórum Econômico Mundial, alerta que a crescente dependência de fornecedores e parceiros,...
Security Report | Destaques

De CISO a Advisor Estratégico: a nova jornada de Thiago Galvão na Microsoft

Com mais de 25 anos de experiência multisetorial, executivo assume papel estratégico de Advisor na gigante de tecnologia em uma...