2,4 milhões de usuários do SUS tiveram dados vazados na internet

Nomes, endereços e números de CPF são algumas das informações divulgadas pelo ataque hacker, que já havia sido alertado pelo seu próprio autor ao Ministério da Saúde
Redação11/04/2019 18h17, atualizada em 11/04/2019 18h37

20190221124326

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Na tarde desta quinta-feira (11), um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website. Fruto de um ataque hacker é possível encontrar dados como nome completo, nome da mãe, endereço, números de CPF e data de nascimento. O autor da ação entrou em contato com o UOL Tecnologia avisando que divulgaria os dados, já que havia avisado o Ministério da Saúde sobre a falha, mas nada foi feito, segundo ele. A alegação do cibercriminoso ainda não foi confirmada pela pasta.

Segundo o UOL, ao governo foi procurado assim que o a redação do veículo soube do possível ataque, “e repassou os detalhes para que a brecha fosse investigada. O Ministério da Saúde informou que a denúncia foi encaminhada para a Polícia Federal para investigação criminal. Também disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários.”

A lei de crimes cibernéticos (12.737/2012) considera que o vazamento de dados pessoais de terceiros é crime. As penas previstas podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.

A falha estava na API  (Application Programming Interface; Interface de Programação de Aplicativos, em inglês), do sistema de integração do SUS com outros aplicativos.

Cadsus, sistema de cadastro do SUS, permitia consulta de dados mediante login e senha do usuário no sistema. No entanto, para chegar a isso, era gerada uma URL. Por exemplo, o endereço “consulta.php?dados=https://xxx.xxx.xxx.xx”. Os Xs no final do endereço são os 11 números do CPF do usuário que consultou seus dados.

Ou seja, a API associava um número de CPF a dados específicos. A brecha foi identificada pelo invasor, que utilizou um algoritmo capaz de testar 300 milhões de combinações válidas, obtendo os dados pessoais dos usuários a partir do CPF de cada um deles. Apenas 1% dos usuários do sistema teriam sido expostos nesta quinta-feira, segundo apuração do UOL Tecnologia.

Ataques desse tipo não são muito complexos. Eles podem ser realizados com facilidade por alguém que tenha conhecimentos técnicos — o que demonstra a gravidade do problema; a falha era completamente previsível.

De acordo com especialistas, os usuários não poderiam ter tomado nenhuma medida para se prevenir, já que o problema foi no servidor de dados do SUS. O recomendável agora é mudar senhas e monitorar suas contas.

“A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”, alertou Martin Hron, pesquisador se segurança senior da Avast. No seu entender, o fornecedor do sistema do SUS deveria ter feito a criptografia da comunicação e a mudança de HTTP para HTTPS.

Cecília Pastorino, também pesquisadora de segurança, afima ter faltado auditoria de segurança. Segundo ela, nessas ocasiões, especialistas procuram por vulnerabilidades, tentam explorá-las e medem seus impactos. “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”. O Ministério não respondeu se houve essa auditoria.

(via UOL Tecnologia).

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital