O Ministério da Saúde está envolvido em mais um escândalo de segurança digital. Uma falha no e-SUS Notifica, sistema de notificações sobre COVID-19 mantido pelo órgão, permitiu que dados sigilosos de mais de 200 milhões de brasileiros ficassem expostos na internet por pelo menos seis meses.

Na semana passada, veio à tona um vazamento de senhas no Ministério da Saúde que expôs dados de 16 milhões de pessoas. O problema foi causado por um cientista de dados externo que afirma ter publicado a lista de senhas no GitHub para fazer um teste e esquecido de removê-la posteriormente.

Ministério da Saúde (imagem: Facebook/Ministério da Saúde)

Revelada pelo Estadão, a descoberta mais recente é muito mais grave, pois expôs dados de 243 milhões de cidadãos cadastrados no SUS (como nome completo, endereço, telefone e CPF). O número de registros supera o de habitantes no Brasil (estimado em 210 milhões) por também conter dados de pessoas falecidas.

Ficaram vulneráveis até mesmo dados de autoridades, incluindo o presidente Jair Bolsonaro (sem partido), o presidente da Câmara Rodrigo Maia (DEM-RJ) e o senador Davi Alcolumbre (DEM-AP).

Novamente, o problema foi causado por um tratamento inadequado de senhas, não por vulnerabilidades sistêmicas. Credenciais (login e senha) de acesso ao sistema foram inseridos no código-fonte do site e podiam ser acessados a partir do modo de inspeção existente nos navegadores.

As credenciais foram codificadas via Base64, método que pode ser decodificado facilmente e, por isso, não funciona para proteger dados sigilosos.

Questionado sobre o problema, o Ministério da Saúde corrigiu a falha e informou ao Estadão que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”.

O veículo também constatou que o e-SUS Notifica foi desenvolvido por uma empresa de tecnologia chamada Zello (antiga MBA Mobi) que, de acordo com dados do Portal da Transparência, recebeu mais de R$ 43 milhões do governo desde 2017.

Quando questionado sobre contratar uma empresa para desenvolver o sistema mesmo com o órgão podendo recorrer ao Datasus para isso, o Ministério da Saúde informou que “a pasta prevê contratações para atendimentos de necessidades passíveis de terceirização” e que esses serviços são fiscalizados “por servidores da casa”.

Fonte