Após um vazamento de senhas do Ministério da Saúde ter permitido acesso aos dados de 16 milhões de brasileiros com suspeita ou infectados pelo novo coronavírus, em novembro, uma falha ainda maior no sistema de notificações do órgão foi detectada, conforme reportagem publicada pelo jornal O Estado de S.Paulo nesta quarta-feira (2).
Desta vez, a brecha permitiu visualizar informações de 243 milhões de brasileiros, entre cadastrados no Sistema Único de Saúde (SUS) e clientes de planos de saúde. O número total é superior à população do Brasil, atualmente em 212 milhões de habitantes, segundo projeção do IBGE, por contabilizar informações sobre pessoas falecidas.
No volume de dados que ficou aberto por pelo menos seis meses, de acordo com o veículo, era possível acessar nomes completos, endereços, número do CPF e telefone, bastando ter conhecimentos básicos sobre desenvolvimento de sites. Até mesmo as informações cadastradas com status “VIP” na plataforma, de visualização mais restrita, foram violadas.
O órgão tem sofrido com falhas em seus sistemas online.Fonte: Governo Federal/Reprodução
A violação era possível usando as credenciais de acesso ao sistema, que podiam ser encontradas em um trecho do código da página. Depois de acionar a função “Inspecionar Elemento”, presente em qualquer navegador, só era preciso quebrar a criptografia simples do sistema, usando ferramentas gratuitas e disponíveis na web.
Falha corrigida
Em resposta aos questionamentos sobre a nova falha em seu sistema de dados, o Ministério da Saúde informou ter corrigido a vulnerabilidade e que está investigando o caso, para apurar as responsabilidades pela exposição da sua base cadastral.
O órgão também afirmou possuir protocolos de segurança revisados com frequência, para mitigar vazamentos como este, e ressaltou ter tomado providências técnicas para impedir novos ataques do tipo.
É válido lembrar que o Ministério pode ser responsabilizado por dano individual ou coletivo, além de condenado a indenizar pessoas afetadas pelo vazamento, com base na Lei Geral de Proteção de Dados (LGPD).
Fontes
Categorias