Topo

"Este site está um lixo", diz hacker ao invadir rede do Ministério da Saúde

Estúdio Rebimboca/UOL
Imagem: Estúdio Rebimboca/UOL

Bruna Souza Cruz e Renata Baptista

De Tilt, em São Paulo

04/02/2021 13h07

A rede do Ministério da Saúde foi invadida na semana passada com direito a um aviso de "Este site está um lixo". A falha de segurança foi destacada pelo hacker invasor no último dia 28 de janeiro, de acordo com informações do "Estado de S. Paulo".

O Ministério da Saúde informou, por meio de nota, que não houve vazamento de dados. O ataque parece ter tido o objetivo de mostrar o quão fácil é acessar a rede do órgão.

Segundo a reportagem, o invasor deixou uma mensagem exposta na rede do FormSUS, serviço do DataSUS (Departamento de Informática do Sistema Único de Saúde) para criação de formulários. A plataforma serve para agrupar dados coletados de pacientes atendidos pela rede pública.

"Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores. A solução é muito simples de ser implementada, com 1 semana de trabalho de uma empresa séria + custo de aproximadamente R$ 15 mil é possível fazer um site com a melhor tecnologia disponível no mercado", disse o invasor na mensagem de alerta.

Ao final, o invasor acrescentou: "Favor levar a sério os assuntos de segurança da informação. Bolsonaro, dá um jeito aí!".

O Ministério da Saúde afirmou que o incidente de segurança foi uma técnica conhecida como "defacement". Ela é comparada a uma pichação digital; modificando o conteúdo e estética de uma página da internet. "A situação já foi controlada pela equipe de segurança da informação da pasta", destacou a nota.

O Ministério da Saúde, que é responsável pela administração do FormSUS, informou ainda que desabilitou, preventivamente, o acesso aos dados para criação de formulários.

Segundo o órgão, foram contatados os gestores do formulário na Secretaria Estadual de Saúde de São Paulo (SES/SP), para verificar o motivo da falha e constatar se isso violou a LGPD (Lei Geral de Proteção de Dados).

Falhas de segurança

O Ministério da Saúde registrou, no ano passado, importantes vazamentos de seus bancos de dados. O maior deles foi em dezembro: uma falha expôs informações de mais de 240 milhões de brasileiros, incluindo nome, endereço completo, telefone e CPF de todas as pessoas cadastradas no SUS ou que tenham aderido a um plano de saúde.

O número de pessoas que tiveram dados expostos —cerca de 243 milhões — é maior que o número de habitantes do país (210 milhões), pois no banco constavam informações de alguns pacientes que morreram. A brecha teria ocorrido por um período de pelo menos seis meses.

De acordo com a pasta, o problema foi resolvido e iriam apurar a responsabilidade pelo vazamento e tomar ações para impedir novos incidentes.

Pouco antes, em novembro, o Ministério da Saúde detectou que ao menos 16 milhões de brasileiros com diagnóstico suspeito ou confirmado de covid-19 tiveram seus dados pessoais e médicos expostos na internet durante quase um mês. O vazamento ocorreu após um funcionário do Hospital Albert Einstein, em São Paulo, divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas pela doença nos 27 estados.