Dados de 16 milhões de brasileiros que foram diagnosticados com Covid-19 ou que tiveram suspeitas da doença ficaram indevidamente expostos na internet. O banco do Ministério da Saúde estava facilmente acessível, graças a um descuido de segurança que deixou públicas as senhas de acesso.
Como relata o Estado de S. Paulo, a vulnerabilidade continha dados não apenas de cidadãos comuns, mas também de autoridades da esfera política, incluindo o presidente Jair Bolsonaro e outras figuras públicas que foram diagnosticadas com Covid-19 ao longo dos últimos meses, como o governador de São Paulo João Doria e o ministro da Saúde Eduardo Pazuello.
Os bancos incluíam não apenas informações pessoais, como CPF e endereço, mas também o histórico médico dos pacientes cujos dados foram expostos.
Segundo a reportagem, a brecha em questão foi causada por um funcionário do Hospital Albert Einstein, que acabou tornando públicas as senhas para acessar o banco de dados na plataforma de desenvolvimento GitHub em texto simples, sem nenhum tipo de criptografia. Com elas, era possível acessar as informações do E-SUS-VE, onde são notificados casos leves e moderados, e o Sivep-Gripe, por onde são notificados todos os casos de Síndrome Respiratória Aguda Grave (SRAG).
O Einstein diz que tinha acesso aos dados do Ministério da Saúde em decorrência de um projeto desenvolvido em parceria com a pasta. Agora, o caso está sendo investigado tanto pelo hospital quanto pelo ministério. Após serem comunicados do descuido, os arquivos foram apagados e as senhas alteradas.
Quando questionado, o Einstein diz que tomará as medidas cabíveis e confirma que “um colaborador teria arquivado informações de acesso a determinados sistemas sem a proteção adequada”. O hospital também diz que a parceria em questão com o ministério diz respeito a um projeto do Programa de Apoio ao Desenvolvimento Institucional do Sistema Único de Saúde, com fornecimento de dados epidemiológicos para realizar análise preditiva da pandemia.
Já o funcionário, chamado Wagner Santos, também confirmou a publicação da planilha no GitHub. A ideia era realizar um teste, mas o arquivo não foi removido por engano e tornou-se de acesso público.