Topo

Brecha do ConecteSUS permite não imunizados burlarem certificado da vacina

App ConecteSUS, que exibe certificado de vacinação para cidadãos brasileiros - Marcelo Camargo/Agência Brasil
App ConecteSUS, que exibe certificado de vacinação para cidadãos brasileiros Imagem: Marcelo Camargo/Agência Brasil

Abinoan Santiago

Colaboração para Tilt, em Florianópolis

27/01/2022 12h44

O aplicativo ConecteSUS, do Ministério da Saúde, apresenta uma falha de segurança que permite a validação do certificado de vacina contra a covid-19 através da leitura de qualquer QR Code. O erro abre uma brecha para não imunizados burlarem a emissão do passaporte da vacina, documento que atesta a imunização exigida por diversos estados para permitir a entrada em eventos ou estabelecimentos.

O problema foi descoberto pela agência de notícias "Saiba Mais", e confirmado por Tilt. Em resposta, o Ministério da Saúde informou "que identificou a falha na segunda-feira (24), e com a máxima agilidade efetuou a atualização do componente de validação de QR-Code do aplicativo ConecteSUS".

A pasta acrescentou que a "ferramenta está funcionando normalmente no site e nas lojas de aplicativos Android e iOS". Contudo, Tilt testou o leitor de QR Code novamente durante a manhã de hoje e verificou que o problema ainda persiste, mesmo atualizando o aplicativo.

A reportagem questionou novamente o Ministério da Saúde e aguarda o retorno.

Como falha ocorre?

Ao acessar o ConecteSUS, os imunizados podem emitir o "Certificado de Vacinação Covid-19". O documento é composto por um código QR Code, que pode ser escaneado para atestar a sua veracidade.

ConecteSUS valida qualquer QR Code como verdadeiro de certificado de vacina - Reprodução - Reprodução
ConecteSUS valida qualquer QR Code como verdadeiro de certificado de vacina
Imagem: Reprodução

O problema é que o ConecteSUS valida como verdadeiro qualquer tipo de QR Code, não apenas o gerado pelo próprio aplicativo na emissão do certificado.

Isso abre possibilidade para a falsificação do documento, pois é possível que os não imunizados apresentem passaportes vacinais não originais com qualquer código. E o aplicativo irá validá-lo de toda forma.

No teste feito pela reportagem, usamos o ConecteSUS para ler dois QR Codes. Um gerado pelo WhatsApp Web e outro aleatório de um site de criação de códigos gratuitos.

Em ambos os casos, o aplicativo apresentou a palavra "OK" na leitura, como se realmente fossem códigos de certificados originais de vacinação.

É mais um ataque ou erro de programação?

Para Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o problema não deve ser resultante de algum tipo de ataque, mas de uma falha de programação do aplicativo.

"Acredito que seja um problema desenvolvimento e testes, sobretudo no mecanismo que responde ao aplicativo e ao resultado do scaner", sugere.

Ele diz que o aplicativo parece validar o QR Code sem consultar a sua base de dados para saber se aquele código realmente é verdadeiro.

"Todo QR Code gera uma informação codificada que, ao ser lida, se descodifica. A partir daí o processo deveria ser de consulta deste código numa base de dados. Com isso, então, deveria haver um retorno sobre o sucesso ou falha da busca. A aplicação parece dar resultado de sucesso sem antes ter consultado na base, mas somente ao ler o QR code", explica.

Pedro Saliba, pesquisador da Associação Data Privacy Brasil, também concorda que que o caso parece envolver um erro de sistema.

"Geralmente os ataques a sistemas da informação por grupos organizados são publicizados, já que isso garante certa honra perante a comunidade", pontua. "Possivelmente é uma falha na programação".

Para Saliba, a descoberta mais uma vez expõe a fragilidade do sistema de segurança da informação do Ministério da Saúde, algo que se tornou recorrente na pandemia.

"O que é importante pontuar é a reiterada insegurança da informação promovida pelo Ministério da Saúde. O ataque que tornou os sistemas indisponíveis em dezembro de 2021 não foi o primeiro: o site foi alterado para expor a fragilidade do sistema em fevereiro de 2021, dados pessoais de pessoas públicas, como Manuela D'Ávila e Átila Iamarino foram alterados, além da exposição dos dados de 243 milhões de pessoas em dezembro de 2020", frisou.

O que fica evidente é uma falta de zelo pelos princípios da segurança da informação: disponibilidade, integralidade, confidencialidade e autenticidade".
Pedro Saliba, Data Privacy Brasil.

O ataque hacker mais recente

O aplicativo ConecteSUS chegou a ficar fora do ar por 13 dias depois do ataque hacker que o Ministério da Saúde sofreu no fim de 2021. A ferramenta retornou em 23 de dezembro, com com instabilidade.

A volta normal com todas as suas funcionalidades, inclusive o comprovante de vacina, ocorreu no dia 27 do mesmo mês.

Em 10 de dezembro, o site do Ministério da Saúde amanheceu com um "defacement" (espécie de pichação virtual): um grupo deixou uma mensagem dizendo que tinha apagado dados e exigindo um pagamento para devolver o sistema.

Após o acesso ilegal, a rede de internet do ministério foi desligada. Os atacantes conseguiram ter acessar o serviço de nuvem usado pela pasta, o AWS (da Amazon), e conseguiram apagar e alterar dados da plataforma do ConecteSUS, segundo informou Tales Faria, colunista e chefe da sucursal de Brasília do UOL.

O caso é investigado pela PF (Polícia Federal) e MPF (Ministério Público Federal).