Voltar

Dados pessoais de 2,4 milh√Ķes de usu√°rios do SUS s√£o vazados na internet



M√°rcio Padr√£o

Do UOL, em S√£o Paulo

04/2019 11h22

Um banco de dados, obtido via ataque hacker, foi exposto na tarde desta quinta-feira (11) em um website. Nele, constam as informa√ß√Ķes pessoais de 2,4 milh√Ķes de usu√°rios do SUS (Sistema √önico de Sa√ļde), como nome completo, nomes da m√£e, endere√ßos, n√ļmeros de CPF e datas de nascimento.

O autor do vazamento procurou o UOL Tecnologia para avisar que publicaria os dados neste dia. Ele diz que avisou por email, em 29 de mar√ßo, o Minist√©rio da Sa√ļde sobre a falha de seguran√ßa, mas segundo ele, nada foi feito --esta informa√ß√£o ainda n√£o foi confirmada pela pasta.

A reportagem procurou o governo assim que soube do poss√≠vel ataque, e repassou os detalhes para que a brecha fosse investigada. Ap√≥s a divulga√ß√£o dos dados, o Minist√©rio da Sa√ļde disse nesta quinta que o vazamento era falso. "Ap√≥s an√°lise preliminar realizada pelo Minist√©rio da Sa√ļde, n√£o h√° ind√≠cios de que as informa√ß√Ķes disponibilizadas s√£o de origem da base de dados de usu√°rios do Cart√£o Nacional de Sa√ļde". Ainda assim, o √≥rg√£o diz que a den√ļncia foi encaminhada para a Pol√≠cia Federal para investiga√ß√£o criminal.

Vazamento de dados pessoais de terceiros é crime previsto na lei de crimes cibernéticos (12.737/2012), com penas previstas que podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.

Segundo a reportagem apurou, a falha estava no sistema de integração do SUS com outros aplicativos, numa parte da chamada API (sigla em inglês para Interface de Programação de Aplicativos). O ministério não comentou se a falha existiu.

A API usada no sistema de cadastro do SUS, o Cadsus, tinha uma fun√ß√£o para consulta de dados ap√≥s login e senha do usu√°rio no sistema. Mas, para chegar a isso, era gerada uma URL. Por exemplo, o endere√ßo "consulta.php?dados=http://xxx.xxx.xxx.xx", na qual os Xs no final do endere√ßo s√£o, na pr√°tica, os 11 n√ļmeros do CPF do usu√°rio que fez a consulta.

A API associava o CPF do usu√°rio aos seus dados, e retornava com os dados completos sobre ele. O invasor entendeu que isso era uma brecha e testou um algoritmo capaz de testar 300 milh√Ķes de combina√ß√Ķes v√°lidas, obtendo os dados pessoais dos usu√°rios a partir do CPF de cada um deles.

A reportagem teve acesso a uma captura de tela com a parte do API com problemas e a apresentou na tarde desta quinta-feira para o ministério.

Em resposta, o órgão ratificou que não possui em seus serviços nenhum componente de integração com a base de dados de usuários do SUS com a tecnologia descrita na captura de tela. Além disso, disse que a linguagem PHP, também alegada como parte da falha, não está entre as tecnologias definidas na arquitetura de sistemas do ministério.

Ainda na quinta-feira, o endereço dabsistemas.saude.gov.br, subdomínio quer permitiu o download de dados, foi retirado do ar e colocou a mensagem "Informamos que o sistema se encontra em manutenção. Atenciosamente".

A mensagem foi colocada recentemente, j√° que p√°ginas cache do Google com esta URL apresentam conte√ļdos como "Relat√≥rios P√ļblicos do Sisvan" (Sistema de Vigil√Ęncia Alimentar e Nutricional do minist√©rio) e "Acesso a e-SUS Aten√ß√£o B√°sica (e-SUS AB)", com campos de preenchimento que pedem CPF e data de nascimento dos usu√°rios.

Reprodução

Apenas 1% dos usu√°rios do sistema teriam sido expostos nesta quinta-feira. Alguns nomes de pessoas reais foram buscados e encontrados pela reportagem no banco de dados, o que atesta a veracidade do conte√ļdo do vazamento.

Isso poderia ter sido evitado?

Este tipo de ataque pode ser realizado com relativa facilidade por alguém com algum conhecimento técnico, o que escancara a gravidade do problema.

Especialistas ouvidos pelo UOL Tecnologia explicam que os usuários não poderiam ter feito nada para se prevenir, já que o problema foi no servidor de dados do SUS. O que devem fazer agora é mudar senhas e monitorar suas contas.

"Se dados pessoais vazam, os hackers podem usá-los para tentar hackear outras contas, para chantagem ou roubo de identidade", diz Martin Hron, pesquisador de segurança senior da Avast.

No entender de Hron, o fornecedor do sistema do SUS deveria ter feito mais atualiza√ß√Ķes, incluindo a criptografia da comunica√ß√£o e a mudan√ßa de HTTP para HTTPS.

"A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada", alertou.

Cecília Pastorino, pesquisadora de segurança da ESET, diz que faltou uma auditoria de segurança, que poderia ter evitado a brecha.

Segundo ela, os especialistas procuram vulnerabilidade, tentam explor√°-las e medem o impacto de cada uma delas.

"Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior", afirma.

Ap√≥s a publica√ß√£o desta not√≠cia, o Minist√©rio da Sa√ļde afirmou que o Departamento de Inform√°tica do SUS (Datasus) refor√ßou as a√ß√Ķes de seguran√ßa para assegurar a prote√ß√£o dos dados dos usu√°rios. O √≥rg√£o tamb√©m confirmou que realiza auditorias regulares na seguran√ßa do sistema.

Dados pessoais de 2,4 milh√Ķes de usu√°rios do SUS s√£o vazados na internet Divulga√ß√£o Cart√£o do Sistema √önico de Sa√ļde Imagem: Divulga√ß√£o M√°rcio Padr√£o Do UOL, em S√£o Paulo 11/04/2019 11h22Atualizada em 12/04/2019 16h58 Resumo da not√≠cia Conte√ļdo do vazamento inclui nomes, endere√ßos e n√ļmeros de CPF Sistema do SUS criava URL com CPF dos usu√°rios e tamb√©m expunha demais dados Invasor criou algoritmo que permitia download de dados pessoais dos usu√°rios Um banco de dados, obtido via ataque hacker, foi exposto na tarde desta quinta-feira (11) em um website. Nele, constam as informa√ß√Ķes pessoais de 2,4 milh√Ķes de usu√°rios do SUS (Sistema √önico de Sa√ļde), co... - Veja mais em https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/04/11/dados-pessoais-de-24-milhoes-de-usuarios-do-sus-sao-vazados-na-internet.htm?cmpid=copiaecola
Dados pessoais de 2,4 milh√Ķes de usu√°rios do SUS s√£o vazados na internet Divulga√ß√£o Cart√£o do Sistema √önico de Sa√ļde Imagem: Divulga√ß√£o M√°rcio Padr√£o Do UOL, em S√£o Paulo 11/04/2019 11h22Atualizada em 12/04/2019 16h58 Resumo da not√≠cia Conte√ļdo do vazamento inclui nomes, endere√ßos e n√ļmeros de CPF Sistema do SUS criava URL com CPF dos usu√°rios e tamb√©m expunha demais dados Invasor criou algoritmo que permitia download de dados pessoais dos usu√°rios Um banco de dados, obtido via ataque hacker, foi exposto na tarde desta quinta-feira (11) em um website. Nele, constam as informa√ß√Ķes pessoais de 2,4 milh√Ķes de usu√°rios do SUS (Sistema √önico de Sa√ļde), co... - Veja mais em https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/04/11/dados-pessoais-de-24-milhoes-de-usuarios-do-sus-sao-vazados-na-internet.htm?cmpid=copiaecola
Dados pessoais de 2,4 milh√Ķes de usu√°rios do SUS s√£o vazados na internet Divulga√ß√£o Cart√£o do Sistema √önico de Sa√ļde Imagem: Divulga√ß√£o M√°rcio Padr√£o Do UOL, em S√£o Paulo 11/04/2019 11h22Atualizada em 12/04/2019 16h58 Resumo da not√≠cia Conte√ļdo do vazamento inclui nomes, endere√ßos e n√ļmeros de CPF Sistema do SUS criava URL com CPF dos usu√°rios e tamb√©m expunha demais dados Invasor criou algoritmo que permitia download de dados pessoais dos usu√°rios Um banco de dados, obtido via ataque hacker, foi exposto na tarde desta quinta-feira (11) em um website. Nele, constam as informa√ß√Ķes pessoais de 2,4 milh√Ķes de usu√°rios do SUS (Sistema √önico de Sa√ļde), co... - Veja mais em https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/04/11/dados-pessoais-de-24-milhoes-de-usuarios-do-sus-sao-vazados-na-internet.htm?cmpid=copiaecola
Dados pessoais de 2,4 milh√Ķes de usu√°rios do SUS s√£o vazados na internet Divulga√ß√£o Cart√£o do Sistema √önico de Sa√ļde Imagem: Divulga√ß√£o M√°rcio Padr√£o Do UOL, em S√£o Paulo 11/04/2019 11h22Atualizada em 12/04/2019 16h58 Resumo da not√≠cia Conte√ļdo do vazamento inclui nomes, endere√ßos e n√ļmeros de CPF Sistema do SUS criava URL com CPF dos usu√°rios e tamb√©m expunha demais dados Invasor criou algoritmo que permitia download de dados pessoais dos usu√°rios Um banco de dados, obtido via ataque hacker, foi exposto na tarde desta quinta-feira (11) em um website. Nele, constam as informa√ß√Ķes pessoais de 2,4 milh√Ķes de usu√°rios do SUS (Sistema √önico de Sa√ļde), co... - Veja mais em https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/04/11/dados-pessoais-de-24-milhoes-de-usuarios-do-sus-sao-vazados-na-internet.htm?cmpid=copiaecola