Dados de milhões de usuários do SUS vazam na internet

Views: 742
0 0
Read Time:3 Minute, 26 Second

Após ataque de hacker, um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website na semana passada.

O autor do vazamento entrou em contato com o portal UOL Tecnologia para avisar que publicaria os dados. Ele também afirmou que avisou o Ministério da Saúde por email, em março deste ano, sobre a falha de segurança, mas nada foi feito. O ministério não confirmou tal informação.

O UOL reportou ao governo os detalhes ao saber do possível ataque para que a brecha fosse investigada. Após a divulgação dos dados, o Ministério da Saúde afirmou que o vazamento era falso, mas que encaminhou a denúncia à Polícia Federal para investigação criminal. Vazamento de dados pessoais de terceiros é crime cibernético (12.737/2012) e pode ocasionar penas de três meses a três anos de prisão, com possibilidade de agravantes.

Na nota, consta: “Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde”. 

A reportagem do UOL apurou que a falha estava no sistema de integração do SUS com outros aplicativos (API – Interface de Programação de Aplicativos), chamado Cadsus, mas o ministério não comentou a existência da falha. A API possui uma função de consulta de dados após login e senha do usuário no sistema, que depende da geração de uma URL.

O portal UOL explica: “Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”, na qual os Xs no final do endereço são, na prática, os 11 números do CPF do usuário que fez a consulta. A API associava o CPF do usuário aos seus dados, e retornava com os dados completos sobre ele”. 

O hacker viu nessa brecha a possibilidade de testar um algoritmo que faz mais de 300 milhões de combinações válidas e consegue obter os dados pessoais dos usuários a partir do CPF de cada um deles.

O UOL apresentou ao ministério uma captura de tela com a parte do API com problemas. Ainda assim, o órgão reforçou que não consta em seus serviços componente de integração com a base de dados de usuários do SUS, é afirmou que a linguagem PHP, alegada como parte da falha, não integra as tecnologias definidas na arquitetura de sistemas do ministério.

O endereço “dabsistemas.saude.gov.br”, subdomínio que permitiu o download de dados, foi retirado do ar na última quinta feira e colocou a mensagem “Informamos que o sistema se encontra em manutenção. Atenciosamente”. 

Apesar da negativa do ministério, alguns nomes de pessoas reais foram buscados e encontrados pelo UOL no banco de dados. 

Especialistas afirmam que o ataque pode ser realizado com facilidade por quem possui conhecimento técnico. Eles explicam que os usuários não possuem mecanismos de defesa contra o ataque, mas devem mudar as senhas e monitorar as contas. 

Martin Hron, pesquisador de segurança sênior da Avast, diz que “Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade”. Ele entende que o fornecedor do sistema do SUS deveria tê-lo atualizado para incluir a criptografia da comunicação e a mudança de HTTP para HTTPS: “A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”. 

Cecília Pastorino, pesquisadora de segurança da ESET, apontou a falta de uma auditoria de segurança como um dos problemas, já que os criminosos procuram vulnerabilidades: “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”.

Após a publicação da notícia pelo UOL, o Ministério da Saúde disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários e confirmou  que faz auditorias regulares na segurança do sistema.

FONTE: https://juristas.com.br/2019/09/20/dados-milhoes-usuarios-sus-vazam-internet/

POSTS RELACIONADOS