Nomes, endereços e números de CPF são algumas das informações divulgadas pelo ataque hacker, que já havia sido alertado pelo seu próprio autor ao Ministério da Saúde .
Na tarde desta quinta-feira (11), um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website. Fruto de um ataque hacker é possível encontrar dados como nome completo, nome da mãe, endereço, números de CPF e data de nascimento. O autor da ação entrou em contato com o UOL Tecnologia avisando que divulgaria os dados, já que havia avisado o Ministério da Saúde sobre a falha, mas nada foi feito, segundo ele. A alegação do cibercriminoso ainda não foi confirmada pela pasta.
Segundo o UOL, ao governo foi procurado assim que o a redação do veículo soube do possível ataque, “e repassou os detalhes para que a brecha fosse investigada. O Ministério da Saúde informou que a denúncia foi encaminhada para a Polícia Federal para investigação criminal. Também disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários.”
A lei de crimes cibernéticos (12.737/2012) considera que o vazamento de dados pessoais de terceiros é crime. As penas previstas podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.
A falha estava na API (Application Programming Interface; Interface de Programação de Aplicativos, em inglês), do sistema de integração do SUS com outros aplicativos.
O Cadsus, sistema de cadastro do SUS, permitia consulta de dados mediante login e senha do usuário no sistema. No entanto, para chegar a isso, era gerada uma URL. Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”. Os Xs no final do endereço são os 11 números do CPF do usuário que consultou seus dados.
Ou seja, a API associava um número de CPF a dados específicos. A brecha foi identificada pelo invasor, que utilizou um algoritmo capaz de testar 300 milhões de combinações válidas, obtendo os dados pessoais dos usuários a partir do CPF de cada um deles. Apenas 1% dos usuários do sistema teriam sido expostos nesta quinta-feira, segundo apuração do UOL Tecnologia.
Ataques desse tipo não são muito complexos. Eles podem ser realizados com facilidade por alguém que tenha conhecimentos técnicos — o que demonstra a gravidade do problema; a falha era completamente previsível.
De acordo com especialistas, os usuários não poderiam ter tomado nenhuma medida para se prevenir, já que o problema foi no servidor de dados do SUS. O recomendável agora é mudar senhas e monitorar suas contas.
“A forma como o sistema identifica a sessão de um usuário logado deve ser alterada, pois é muito previsível e pode ser facilmente abusada”, alertou Martin Hron, pesquisador se segurança senior da Avast. No seu entender, o fornecedor do sistema do SUS deveria ter feito a criptografia da comunicação e a mudança de HTTP para HTTPS.
Cecília Pastorino, também pesquisadora de segurança, afima ter faltado auditoria de segurança. Segundo ela, nessas ocasiões, especialistas procuram por vulnerabilidades, tentam explorá-las e medem seus impactos. “Esse tipo de auditoria é muito importante e evita que aplicativos sejam publicados na internet com sérias falhas de segurança, que poderiam ter sido facilmente identificadas em uma análise anterior”. O Ministério não respondeu se houve essa auditoria.
