Hacker sincero: sistema do Ministério da Saúde é novamente alvo de invasão

A rede do Ministério da Saúde foi novamente alvo de invasão. A pessoa responsável pela ação, que se intitulou como "hacker sincero", criticou as falhas de segurança existentes nos sistemas do governo. Segundo a pasta, não houve vazamento de dados.

O caso foi descoberto ontem (17), de acordo com o Ministério. Pela segunda vez, envolveu a rede do FormSUS, serviço do DataSUS (Departamento de Informática do Sistema Único de Saúde) para criação de formulários. A plataforma serve para agrupar dados coletados de pacientes atendidos pela rede pública.

Relacionadas

Hacker põe base de dados de 8 milhões de brasileiros à venda por R$ 1.720

Agenda sem prazos da "xerife da LGPD" deve atrasar multas por vazamentos

Falha em site da Secretaria de saúde de Goiás expunha CPF, RG e contratos

"O site continua uma bosta nada foi feito (...) Ou a equipe de TI são funcionários fantasmas ou não sabem o que estão fazendo lá (sic)", escreveu o invasor em uma longa mensagem exposta na rede do FormSUS. "Arrumem esse site porco ou na próxima vai vazar os dados dos responsáveis por essa porcaria."

O Ministério da Saúde informou que havia descontinuado o FormSUS no dia 28 de janeiro, após ter identificado uso inadequado do serviço. Porém, a plataforma ficou disponível para que os gestores pudessem fazer o download dos formulários. "Já foi retirada do ar permanentemente", acrescentou.

A pasta afirmou também que o incidente de segurança envolveu a técnica conhecida como "defacement", comparada a uma pichação digital. Ela não rouba dados, mas consegue modificar o conteúdo e estética de uma página da internet.

Primeira invasão

No começo de fevereiro, a mesma técnica de invasão foi usada para criticar a segurança da rede do Ministério da Saúde. Uma mensagem com frases como "Este site está um lixo" foi deixada como sinal de alerta — ao que tudo indica, o segundo caso é continuação desse primeiro.

"Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores. A solução é muito simples de ser implementada, com 1 semana de trabalho de uma empresa séria + custo de aproximadamente R$ 15 mil é possível fazer um site com a melhor tecnologia disponível no mercado", afirmou o invasor na época.

Sobre esse caso, o Ministério da Saúde havia informado que a situação tinha sido controlada pela equipe de segurança da informação da pasta. Explicou ainda que tinha desabilitado, preventivamente, o acesso aos dados para criação de formulários.

Segundo o órgão, foram contatados os gestores do formulário na Secretaria Estadual de Saúde de São Paulo (SES/SP), para verificar o motivo da falha e constatar se isso violou a LGPD (Lei Geral de Proteção de Dados).

Falhas de segurança

O Ministério da Saúde registrou, no ano passado, importantes vazamentos de seus bancos de dados. O maior deles foi em dezembro: uma falha expôs informações de mais de 240 milhões de brasileiros, incluindo nome, endereço completo, telefone e CPF de todas as pessoas cadastradas no SUS ou que tenham aderido a um plano de saúde.

O número de pessoas que tiveram dados expostos —cerca de 243 milhões — é maior que o número de habitantes do país (210 milhões), pois no banco constavam informações de alguns pacientes que morreram. A brecha teria ocorrido por um período de pelo menos seis meses.

De acordo com a pasta, o problema foi resolvido e iriam apurar a responsabilidade pelo vazamento e tomar ações para impedir novos incidentes.

Pouco antes, em novembro, o Ministério da Saúde detectou que ao menos 16 milhões de brasileiros com diagnóstico suspeito ou confirmado de covid-19 tiveram seus dados pessoais e médicos expostos na internet durante quase um mês. O vazamento ocorreu após um funcionário do Hospital Albert Einstein, em São Paulo, divulgar uma lista com usuários e senhas que davam acesso aos bancos de dados de pessoas testadas, diagnosticadas e internadas pela doença nos 27 estados.