O sistema e-SUS Notifica, do Ministério da Saúde, que reúne informações de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19, possuía uma falha de segurança identificada em junho pela Open Knowledge Brasil – organização sem fins lucrativos que promove transparência e dados abertos.
Essa foi mais uma vulnerabilidade do sistema: na última quinta-feira (26), foi revelado que senhas de acesso de bancos de dados do e-SUS Notifica foram publicadas em uma plataforma aberta por um funcionário do Hospital Albert Einstein que estava trabalhando em um projeto com o Ministério da Saúde.
A falha de segurança revelada pela Open Knowledge Brasil também envolve senhas de acesso de um servidor com informações do e-SUS Notifica. O problema foi corrigido dias depois de a ONG denunciá-lo ao governo federal.
De acordo com a organização, a vulnerabilidade permitia acessar uma base de dados com informações pessoais de cidadãos – incluindo CPF, endereço, telefone, além de informações confidenciais como doenças pré-existentes.
Em nota enviada ao Portal G1, o Ministério da Saúde confirmou que a falha de segurança existia, mas disse que o sistema “hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados”.
Essa informação foi contestada pela ONG, que afirmou que as senhas davam acesso às mesmas bases de dados que ficaram expostas após a publicação das credenciais nesta semana, que revelou informações de membros do governo.
Segundo a Open Knowledge Brasil, o site da plataforma e-SUS Notifica continha um arquivo escondido, que podia ser encontrado no código-fonte, com credenciais que davam acesso a banco de dados com informações pessoais de cidadãos.
O e-SUS Notifica foi criado em março deste ano e recebe notificações de casos leves e moderados de Covid-19, suspeitos ou confirmados, de hospitais públicos e privados. São registradas informações de identificação e detalhes como o tipo de teste realizado, sintomas e tratamento, além de condições pré-existentes dos pacientes.
A vulnerabilidade foi encontrada na noite do dia 4 de junho e, no dia 7, foi registrada uma denúncia na ouvidoria do Controladoria-Geral da União alertando sobre o caso, junto com uma ata registrada em cartório que comprovava a falha.
A diretora da Open Knowledge Brasil, Fernanda Campagnucci, descreveu que “expor as credenciais do banco de dados no próprio código do site é um erro primário de quem desenvolveu, supervisionou e homologou a implementação do sistema” e que isso seria equivalente a “deixar a chave de um cofre na porta do mesmo”.
O Ministério da Saúde afirmou que foram implementadas “melhorias que fazem a codificação da chave” e “ofuscação de código, impossibilitando a visualização via inspeção”.
A organização disse que tentou protocolar a denúncia na Ouvidoria do SUS (Sistema Único de Saúde), mas um dos campos obrigatórios estava com defeito, e não permitia prosseguir com a solicitação.
Apesar de a correção ter acontecido dez dias após a denúncia à Controladoria-Geral da União, a Open Knowledge relatou ao Portal G1 que o Ministério da Saúde não respondeu às suas solicitações, e que só foi possível constatar a correção pelo monitoramento diário que a organização fez da vulnerabilidade.
Uma semana depois da abertura do protocolo, a Ouvidoria Geral da União considerou a demanda “concluída” e redirecionou de forma automática para a Ouvidoria do SUS.
A ONG também pediu uma auditoria para apurar a extensão do dano, a fim de saber se houve acesso não autorizado e se os dados foram baixados em algum momento, mas não conseguiu acompanhar o protocolo da solicitação.
Em nota, o Ministério da Saúde afirmou que “recebeu a denúncia anônima” e que “não houve qualquer tipo de invasão no sistema percebida pela equipe”.
A reclamação da organização enviada para a Ouvidoria Geral da União, a qual o G1 teve acesso, não foi anônima.
O Portal G1 questionou o Ministério da Saúde sobre essa informação, mas até a última atualização desta reportagem não tinha obtido retorno.
Em conjunto com a denúncia, a organização solicitou informações sobre os protocolos de segurança de dados pessoais do sistema e-SUS Notifica, que foram respondidas pelo Ministério da Saúde por meio da Lei de Acesso à Informação (LAI).
Questionado pela ONG sobre os critérios e protocolo de segurança de dados pessoais, o ministério afirmou que “o sistema atende a LGPD [Lei Geral de Proteção de Dados]” e que “por questão de segurança” não poderia revelar as medidas.
A Lei Geral de Proteção de Dados, no entanto, indica que instituições que lidam com dados precisam ser transparentes sobre como gerenciam as informações das pessoas, e que é necessário demonstrar o cumprimento de medidas “das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
O Ministério da Saúde também indicou que, em junho, 8.714 pessoas tinham acesso para obter relatórios de casos suspeitos ou confirmados de Covid-19 pelo sistema e-SUS Notifica.
Para a diretora da Open Knowledge Brasil, Fernanda Campagnucci, esse é um número exagerado.
“Não é só falha de segurança, é toda a política de gestão da informação que parece estar equivocada ainda “, disse ao Portal G1. “Ter extração de dados é importante para os gestores, mas precisa ser de todo mundo, com todos aqueles campos?”, completou.
“O Ministério da Saúde informa que recebeu a denúncia anônima nº 3655692, que informava a violação de privacidade da proteção de dados de pessoas registradas no sistema e-Notifica, com suspeita ou confirmação de Covid-19. Contudo, o sistema de registro de notificações e-SUS Notifica hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados. Com isso, em momento algum, o acesso à base de dados do e-SUS Notifica foi ameaçada.
De qualquer forma, foram implementadas melhorias que fazem a codificação da chave em variáveis de ambiente, além de ofuscação de código – impossibilitando a visualização via inspeção de código. Cabe salientar que não houve qualquer tipo de invasão no sistema percebida pela equipe.
O Ministério da Saúde agradece o empenho da sociedade no apontamento do problema e ressalta que foram tomadas todas as medidas para resolvê-lo.
Por fim, o DataSus está sempre buscando melhorias para garantir a segurança da informação sem prejuízo a identidade e privacidade do cidadão.”
Fonte: G1
DÓLAR COMERCIAL: R$ 4,8930 DÓLAR TURISMO: R$ 5,0960 EURO: R$ 5,7660 LIBRA: R$ 6,7020 PESO…
O ex-ministro e ex-governador do Ceará Ciro Gomes (PSDB) decidiu que não será candidato à Presidência da…
O Banco Master comprou fatias milionárias de precatórios que estão na mira da Polícia Federal…
Uma explosão atingiu ao menos 35 imóveis nessa segunda-feira (11) no Jaguaré, na Zona Oeste…
A maior Copa do Mundo de todos os tempos, esta é a promessa feita pela…
Uma inspeção sanitária realizada na fábrica da Ypê, em Amparo, no interior de São Paulo, identificou…
This website uses cookies.