2,4 milhões de usuários do SUS tem dados pessoais vazados na internet

Na última quinta-feira (11) um banco de dados foi exposto na web contendo informações pessoais de aproximadamente 2,4 milhões de usuários do SUS (Sistema Único de Saúde). Os dados foram obtidos através de um ataque hacker. Entre as informações que teriam sido divulgadas está o nome completo, nome da mãe, número de CPF, endereço e data de nascimento.

O autor do vazamento teria entrado em contato com o UOL, para avisar que faria a publicação estes dados, assim como revelou que já teria contatado o Ministério da Saúde no dia 29 de março para avisar sobre a falha na segurança, o qual teria sido ignorado pelo órgão público.

Assim que os dados foram divulgados, em nota o Ministério da Saúde informou que "Após análise preliminar realizada pelo Ministério da Saúde, não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde", mesmo assim, o órgão disse ter encaminhado uma denúncia a Polícia federal para averiguação.

O vazamento de dados pessoais de terceiros é considerado crime cibernético com base na lei 12.737/2012, onde estão previstas penas que variam de três meses de detenção até três anos, e dependendo do caso com agravantes.

• Vulnerabilidade no Messenger permitia que hackers vissem com quem usuário conversa
• Após 19 anos falha de segurança é encontrada no WinRAR

Ao que tudo indica, conforme um levantamento feito pela equipe do UOL, haveria uma falha no sistema de integração do SUS com demais aplicativos, na API (Interface de programação de Aplicativos). Porém, o Ministério da Saúde não mencionou a possibilidade.

O problema estaria no Cadsus, sistema de cadastro do SUS, na API, que tem uma função para consulta de dados após o login, entretanto, uma URL era gerada neste caminho. E, ali é que estria o problema. A API fazia a associação com o CPF do usuário aos seus dados, retornando com os dados completos.

Com isso, o hacker encontrou essa brecha e testou um algoritmo que conseguiu fazer 300 milhões de combinações válidas, conseguindo obter os dados pessoais dos usuários a partir dos CPF.

Segundo o UOL. A equipe deles teve acesso a API que apresentava a URL com problemas e encaminhou para o Ministério da Saúde na quinta (11). O órgão em resposta que não possui em seus serviços nenhum componente de integração conforme a tecnologia descrita na captura de tela, com acesso a base de dados de usuários do SUS. Além disso, o órgão também teria dito que a linguagem em PHP, apontada como parte da falha, não faz parte das tecnologias definidas na arquitetura de sistemas do ministério.

Entretanto, na mesma quinta-feira do ocorrido, o endereço dabsistemas.saude.gov.br, o qual teria permitido o download de dados, foi retirado do ar e ao acessá0lo apareceria a seguinte mensagem "Informamos que o sistema se encontra em manutenção. Atenciosamente".

Páginas do cache do Google com está URL apresentava anteriormente " Relatórios Públicos do Sisvan" e "Acesso a e-SUS Atenção Básica e-SUS AB", ao preencher os campos que solicitam CPF e data de nascimento de usuários.

Na última quinta-feira, somente 1% dos usuários teriam sido expostos. Conforme o UOL, que teria realizado a busca por nomes de pessoas reais e encontrado no banco de dados, isso confirma a veracidade do conteúdo do vazamento.