Após a falha de segurança que havia exposto dados pessoais e sensíveis de 16 milhões de pacientes de COVID-19, o Ministério da Saúde enfrenta agora nova exposição de dados. A nova falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. 

No caso de vazamento anterior, apenas os pacientes de COVID-19 haviam tido sua privacidade violada. Na nova violação, porém, ficaram abertas para consulta informações pessoais de qualquer cidadão cadastrado no SUS ou beneficiário de um plano de saúde. 

Segundo investigação feita pelo Estadão, foram expostos cerca de 243 milhões de registros de pacientes. Entre elas, estão incluídas informações como número do CPF, nome completo, endereço e telefone. O grande número de registros ultrapassa o total de habitantes do País (210 milhões), pois há informações de pessoas que já faleceram.

Mais uma vez, entre os nomes de brasileiros que tiveram sua privacidade violada, estão o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux. 

 

O vazamento.

Novamente, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.

Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função "inspecionar elemento", disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.

O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. "O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos", explica o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.

A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com covid também estavam expostos no meio do código do site.

Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora pelo Estadão na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.

"Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e não estão levando a sério ainda o tratamento de dados dos milhões de brasileiros", diz Fernanda Campagnucci, diretora executiva da OKBR.

 

Governo federal na investigação do caso.

O sistema e-SUS-Notifica, já teve ao menos duas falhas de segurança reportadas até agora. Ele foi desenvolvido pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo Ministério da Saúde para desenvolver esse e outros softwares para a pasta. 

Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações, visto que Lei Geral de Proteção de Dados (LGPD) responsabiliza o controlador de dados quanto à segurança dos dados possuídos por ele. 

O problema identificado já foi corrigido após alerta do Estadão, mas quando questionado o Ministério da Saúde informou que "os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério". Informando ainda que "possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições", mas não explicou por que não houve a revisão do código do sistema em junho, quando foi feita a primeira denúncia sobre o problema. De acordo com o ministério, "ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido". 

O ministério foi questionado também sobre o motivo de ter contratado uma empresa privada para desenvolver o sistema de notificações de casos de covid-19, dado que a pasta possui um departamento de tecnologia (Datasus). O órgão justificou que "a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização" e que os serviços são acompanhados e fiscalizados por servidores da casa". O ministério disse ainda que "agradece o empenho da sociedade em identificar problemas ou vulnerabilidades".