Read, hack, repeat

Vazamento de senhas do Ministério da Saúde não foi causado por ataque cibercriminoso

Guilherme Petry

O vazamento das senhas de acesso aos dados de 16 milhões de brasileiros que tiveram suspeita ou confirmação de covid-19 não foi resultado de um ataque cibercriminoso. De acordo com o Estadão, foi um erro de um profissional de dados que teria publicado as credenciais em seu perfil no Github.

O banco de dados ficou aberto para consulta por cerca de um mês, entre outubro e novembro, após um cientista de dados do Hospital Albert Einstein publicar uma lista com as credenciais de acesso a dois sistemas: o E-SUS-VE, que coleta dados de pacientes com suspeita ou confirmação de covid-19 e o Sivep-Gripe que coleta registros de internação de pacientes em estado mais grave. Ambos bancos de dados são de nível federal e reúnem dados do Brasil todo.

Os bancos de dados são de responsabilidade do Ministério da Saúde e segundo o jornal, o funcionário teve acesso a esses dados, pois estava trabalhando em um projeto com o governo. O objetivo era testar a implementação de um modelo, mas o funcionário esqueceu de remover o arquivo (que estava público) do Github.

Os dados

Os sistemas reúnem nome, CPF, endereço, telefone e doenças pré-existentes de cerca 16 milhões de brasileiros que procuraram hospitais com sintomas de covid-19. Há ainda informações de prontuário e quais medicamentos foram usados no tratamento durante a hospitalização de alguns pacientes.

Os hospitais brasileiros são obrigados a oferecer dados relacionados a covid-19 ao Ministério da Saúde. Esses dados são informações fundamentais para que o governo tenha critério no desenvolvimento de tratamentos e até mesmo de uma vacina. Mas são dados extremamente sigilosos, que devem pertencer somente ao governo para o bem público. Já que empresas (tanto de saúde como qualquer outra área) podem usá-los para oferecer produtos e soluções específicas direcionadas para um grupo ou até individualmente.

Entre os registros, é possível encontrar as informações de Jair Bolsonaro e seus familiares, além de muitos outros representantes políticos, como João Dória, Onyx Lorenzoni, Damares Alves, Rodrigo Maia. Os dados foram confirmados pelo Estadão.

Posicionamento oficial

Em nota à imprensa divulgada nesta quinta-feira (26) o Ministério da Saúde informa que o arquivo já foi removido do Github e que a equipe de segurança cibernética do hospital já está “tomando as medidas necessárias para conter um possível vazamento de arquivos que contenham login e senha para acesso das informações dos sistemas via Elastic Search”.

Já o hospital informa não tem acesso aos dados, nem ao arquivo com as senhas, mas que o funcionário tinha, pois estava trabalhando em um projeto em parceria com o Ministério da Saúde. Segundo o hospital, o funcionário foi demitido no mesmo dia que o vazamento se tornou público.

“[Os dados] ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.”, diz o comunicado.


Fonte: Estadão; Ministério da Saúde; Hospital Albert Einstein.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.