O presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, presidente da Câmara dos Deputados, o senador Davi Alcolumbre, presidente do Senado, e o ministro Luiz Fux, presidente do Supremo Tribunal Federal (STF), estão entre os mais de 200 milhões de brasileiros que tiveram suas privacidades violadas por conta de uma falha de segurança no sistema de notificações da COVID-19 do Ministério da Saúde, informou o jornal O Estado de São Paulo nesta quarta-feira (2).
Na semana passada, ao menos 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de COVID-19 ficaram com seus dados pessoais e médicos expostos na Internet durante quase um mês por causa de um vazamento de senhas de sistemas do Ministério.
Desta vez, o erro deixou expostas na rede, por pelo menos seis meses, informações não apenas de pacientes com diagnóstico dessa doença, mas também dados pessoais de quem tem cadastro no Sistema Único de Saúde (SUS) ou planos de saúde. São registros como nome completo, Cadastro de Pessoa Física (CPF), endereço e telefone. No total, são 243 milhões de nomes, inclusive de quem já morreu, por isso um número maior do que o da população brasileira.
O problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no ministério. Estas informações estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função "inspecionar elemento", disponível em qualquer navegador.
E não é preciso ser especialista em Internet para acessar as informações. Basta ter conhecimentos básicos de desenvolvimento de sites para encontrar a senha, decodificá-la e acessar o banco de dados. Login e senha foram codificados pelo método chamado "base64" que é transposto por meio de ferramentas on-line.
"Ele é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos", explicou ao jornal o cientista da computação Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas.
Reincidência
Este não foi o primeiro e nem o segundo caso envolvendo o Ministério da Saúde. A falha na exposição de login e senha é similar à reportada ao órgão em junho pela organização não governamental Open Knowledge Brasil (OKBR). Na época, ela identificou que login e senha para um banco de dados de pacientes com COVID-19 também estavam expostos no meio do código do site.
O Ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
"Cada vez que você para e vai analisar a segurança da informação e a política de gestão de dados do Ministério da Saúde, você encontra uma vulnerabilidade mais grave. Na época da denúncia que fizemos, pedimos uma auditoria e não recebemos nenhuma resposta. Claramente eles não levaram e ainda não estão levando a sério o tratamento de dados de milhões de brasileiros", comentou Fernanda Campagnucci, diretora executiva da OKBR.
O sistema das falhas chama-se "SUS-Notifica" e foi desenvolvido pela empresa de tecnologia Zello (antiga MBA Mobi), contratada pelo ministério para desenvolver esse e outros softwares para a pasta. O órgão não informou quanto pagou à companhia pelo serviço, mas, segundo dados do Portal da Transparência, a empresa já recebeu do governo mais de R$ 43 milhões desde 2017.
Independentemente de quem foi o erro que deixou login e senha expostos, o Ministério da Saúde pode ser responsabilizado por dano individual ou coletivo e ser condenado a pagar indenizações.
"Pela Lei Geral de Proteção de Dados, quem é controlador da base de dados tem responsabilidades inclusive no que diz respeito à segurança dessas bases. Deixar que qualquer um tenha acesso a senhas de acesso a bases de dados é um erro de segurança básico", disse Joana Varon, fundadora e diretora da organização Coding Rights, criada para promover o entendimento e contribuir para a proteção e promoção de direitos humanos no mundo digital.
Questionado sobre a falha de segurança e a exposição dos dados de mais de 200 milhões de pessoas, o Ministério da Saúde informou que "os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do Ministério". O problema identificado já foi corrigido após a publicação da reportagem.
O órgão disse ainda que "possui protocolos de segurança e proteção de dados, que são constantemente avaliados e aprimorados a fim de mitigar exposições", mas sem explicar por que não houve a revisão do código do sistema em junho, quando da primeira denúncia sobre o problema. De acordo com o ministério, "ações de segurança estão sendo tomadas para impedir novos incidentes, assim como ações administrativas para apurar o ocorrido".
