Como se não bastasse o vazamento da semana passada que expôs os dados pessoais de 16 milhões de brasileiros diagnosticados com Covid-19, desta vez o Ministério da Saúde deixou que informações de mais de 200 milhões de brasileiros fossem divulgadas. Por conta de uma falha no código do site do órgão, os cadastramentos ficaram disponíveis para visualização de qualquer pessoa durante seis meses.
Tratam-se de informações de beneficiários do Sistema Único de Saúde (SUS), mas também de contratantes de planos de saúde. Foram expostos número de CPF, nome completo, endereço e telefone. Surpreendentemente, o número de pessoas expostas é maior que o número de habitantes do país, mas para isso, a reportagem do Estadão atribuiu ao fato de que alguns dados são de brasileiros já falecidos.
Além disso, no meio das informações divulgadas também estavam dados de grandes personagens da política brasileira, como o próprio presidente Jair Bolsonaro; o presidente da Câmara dos Deputados, Rodrigo Maia; o presidente do Senado, Davi Alcolumbre; bem como o atual presidente do Supremo Tribunal Federal (STF), Luiz Fux.
Base 64
Todo o vazamento foi possível por conta de uma falha no código do banco de dados do Ministério. Mas cabe destacar que a lacuna não era difícil de ser identificada, considerando que ela poderia ser vista na opção “Inspecionar Elemento” de qualquer navegador, o que exige conhecimentos mínimos de programação de páginas web.
As informações estavam codificadas por meio de uma técnica conhecida como Base 64. Este método pode ser facilmente decodificado com o auxílio de ferramentas simples online. “O Base 64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explicou o cientista da computação Daniel Fireman, que também é professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
O que diz o Ministério da Saúde
Questionado sobre o vazamento, o Ministério da Saúde disse que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do Ministério”. Neste ponto, vale lembrar que pela nova Lei Geral de Proteção de Dados (LGPD), os responsáveis podem ser responsabilizados por dano individual ou coletivo e ainda serem obrigados a pagar indenizações.
“Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico”, disse Joana Varon, fundadora e diretora da organização Coding Rights.
O órgão federal ainda afirmou que “possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições” e acrescentou que “ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido”.
A falha no código do banco de dados foi corrigida após a reportagem do Estadão ser publicada.
Via: Estadão