Segurança

Hacker Attack

2,4 milhões de usuários do SUS tiveram dados vazados na internet

Maria Dourado, editado por Rui Maciel 11/04/2019 15h37
Compartilhe com seus seguidores
A A A

Nomes, endereços e números de CPF são algumas das informações divulgadas pelo ataque hacker, que já havia sido alertado pelo seu próprio autor ao Ministério da Saúde

Na tarde desta quinta-feira (11), um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website. Fruto de um ataque hacker é possível encontrar dados como nome completo, nome da mãe, endereço, números de CPF e data de nascimento. O autor da ação entrou em contato com o UOL Tecnologia avisando que divulgaria os dados, já que havia avisado o Ministério da Saúde sobre a falha, mas nada foi feito, segundo ele. A alegação do cibercriminoso ainda não foi confirmada pela pasta.


Segundo o UOL, ao governo foi procurado assim que o a redação do veículo soube do possível ataque, "e repassou os detalhes para que a brecha fosse investigada. O Ministério da Saúde informou que a denúncia foi encaminhada para a Polícia Federal para investigação criminal. Também disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários."

A lei de crimes cibernéticos (12.737/2012) considera que o vazamento de dados pessoais de terceiros é crime. As penas previstas podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.

A falha estava na API  (Application Programming Interface; Interface de Programação de Aplicativos, em inglês), do sistema de integração do SUS com outros aplicativos. 

Cadsus, sistema de cadastro do SUS, permitia consulta de dados mediante login e senha do usuário no sistema. No entanto, para chegar a isso, era gerada uma URL. Por exemplo, o endereço "consulta.php?dados=http://xxx.xxx.xxx.xx". Os Xs no final do endereço são os 11 números do CPF do usuário que consultou seus dados.

Ou seja, a API associava um número de CPF a dados específicos. A brecha foi identificada pelo invasor, que utilizou um algoritmo capaz de testar 300 milhões de combinações válidas, obtendo os dados pessoais dos usuários a partir do CPF de cada um deles. Apenas 1% dos usuários do sistema teriam sido expostos nesta quinta-feira, segundo apuração do UOL Tecnologia. 

Ataques desse tipo não são muito complexos. Eles podem ser realizados com facilidade por alguém que tenha conhecimentos técnicos — o que demonstra a gravidade do problema; a falha era completamente previsível. 

De acordo com especialistas, os usuários não poderiam ter tomado nenhuma medida para se prevenir, já que o problema foi no servidor de dados do SUS. O recomendável agora é mudar senhas e monitorar suas contas.

"A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada", alertou Martin Hron, pesquisador se segurança senior da Avast. No seu entender, o fornecedor do sistema do SUS deveria ter feito a criptografia da comunicação e a mudança de HTTP para HTTPS.

Cecília Pastorino, também pesquisadora de segurança, afima ter faltado auditoria de segurança. Segundo ela, nessas ocasiões, especialistas procuram por vulnerabilidades, tentam explorá-las e medem seus impactos. "Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior". O Ministério não respondeu se houve essa auditoria.

(via UOL Tecnologia). 

Segurança vazamento vazamento de dados cibersegurança cybersegurança segurança pública falha de segurança
Compartilhe com seus seguidores
Compras na Internet? Para aproveitar as melhores ofertas, baixe a nova extensão do Olhar Digital. Além da garantia do melhor preço, você ainda ganha descontos em várias lojas. Clique aqui para instalar.

Recomendados pra você