Após ataque de hacker, um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website na semana passada.
O autor do vazamento entrou em contato com o portal UOL Tecnologia para avisar que publicaria os dados. Ele também afirmou que avisou o Ministério da Saúde por email, em março deste ano, sobre a falha de segurança, mas nada foi feito. O ministério não confirmou tal informação.
O UOL reportou ao governo os detalhes ao saber do possível ataque para que a brecha fosse investigada. Após a divulgação dos dados, o Ministério da Saúde afirmou que o vazamento era falso, mas que encaminhou a denúncia à Polícia Federal para investigação criminal. Vazamento de dados pessoais de terceiros é crime cibernético (12.737/2012) e pode ocasionar penas de três meses a três anos de prisão, com possibilidade de agravantes.
Na nota, consta: “Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde”.
A reportagem do UOL apurou que a falha estava no sistema de integração do SUS com outros aplicativos (API – Interface de Programação de Aplicativos), chamado Cadsus, mas o ministério não comentou a existência da falha. A API possui uma função de consulta de dados após login e senha do usuário no sistema, que depende da geração de uma URL.
O portal UOL explica: “Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”, na qual os Xs no final do endereço são, na prática, os 11 números do CPF do usuário que fez a consulta. A API associava o CPF do usuário aos seus dados, e retornava com os dados completos sobre ele”.
O hacker viu nessa brecha a possibilidade de testar um algoritmo que faz mais de 300 milhões de combinações válidas e consegue obter os dados pessoais dos usuários a partir do CPF de cada um deles.
O UOL apresentou ao ministério uma captura de tela com a parte do API com problemas. Ainda assim, o órgão reforçou que não consta em seus serviços componente de integração com a base de dados de usuários do SUS, é afirmou que a linguagem PHP, alegada como parte da falha, não integra as tecnologias definidas na arquitetura de sistemas do ministério.
O endereço “dabsistemas.saude.gov.br”, subdomínio que permitiu o download de dados, foi retirado do ar na última quinta feira e colocou a mensagem “Informamos que o sistema se encontra em manutenção. Atenciosamente”.
Apesar da negativa do ministério, alguns nomes de pessoas reais foram buscados e encontrados pelo UOL no banco de dados.
Especialistas afirmam que o ataque pode ser realizado com facilidade por quem possui conhecimento técnico. Eles explicam que os usuários não possuem mecanismos de defesa contra o ataque, mas devem mudar as senhas e monitorar as contas.
Martin Hron, pesquisador de segurança sênior da Avast, diz que “Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade”. Ele entende que o fornecedor do sistema do SUS deveria tê-lo atualizado para incluir a criptografia da comunicação e a mudança de HTTP para HTTPS: “A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”.
Cecília Pastorino, pesquisadora de segurança da ESET, apontou a falta de uma auditoria de segurança como um dos problemas, já que os criminosos procuram vulnerabilidades: “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”.
Após a publicação da notícia pelo UOL, o Ministério da Saúde disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários e confirmou que faz auditorias regulares na segurança do sistema.
FONTE: https://juristas.com.br/2019/09/20/dados-milhoes-usuarios-sus-vazam-internet/