Nomes, endereços e números de CPF são algumas das informações divulgadas pelo ataque hacker, que já havia sido alertado pelo seu próprio autor ao Ministério da Saúde

Na tarde desta quinta-feira (11), um banco de dados com informações pessoais de 2,4 milhões de usuários do SUS (Sistema Único de Saúde) foi exposto em um website. Fruto de um ataque hacker é possível encontrar dados como nome completo, nome da mãe, endereço, números de CPF e data de nascimento. O autor da ação entrou em contato com o UOL Tecnologia avisando que divulgaria os dados, já que havia avisado o Ministério da Saúde sobre a falha, mas nada foi feito, segundo ele. A alegação do cibercriminoso ainda não foi confirmada pela pasta.

Segundo o UOL, ao governo foi procurado assim que o a redação do veículo soube do possível ataque, “e repassou os detalhes para que a brecha fosse investigada. O Ministério da Saúde informou que a denúncia foi encaminhada para a Polícia Federal para investigação criminal. Também disse que o Departamento de Informática do SUS (Datasus) reforçou as ações de segurança para assegurar a proteção dos dados dos usuários.”

A lei de crimes cibernéticos (12.737/2012) considera que o vazamento de dados pessoais de terceiros é crime. As penas previstas podem variar de três meses a três anos de prisão, com agravantes dependendo do caso.

A falha estava na API  (Application Programming Interface; Interface de Programação de Aplicativos, em inglês), do sistema de integração do SUS com outros aplicativos.

Cadsus, sistema de cadastro do SUS, permitia consulta de dados mediante login e senha do usuário no sistema. No entanto, para chegar a isso, era gerada uma URL. Por exemplo, o endereço “consulta.php?dados=http://xxx.xxx.xxx.xx”. Os Xs no final do endereço são os 11 números do CPF do usuário que consultou seus dados.

Ou seja, a API associava um número de CPF a dados específicos. A brecha foi identificada pelo invasor, que utilizou um algoritmo capaz de testar 300 milhões de combinações válidas, obtendo os dados pessoais dos usuários a partir do CPF de cada um deles. Apenas 1% dos usuários do sistema teriam sido expostos nesta quinta-feira, segundo apuração do UOL Tecnologia.

Ataques desse tipo não são muito complexos. Eles podem ser realizados com facilidade por alguém que tenha conhecimentos técnicos — o que demonstra a gravidade do problema; a falha era completamente previsível.

De acordo com especialistas, os usuários não poderiam ter tomado nenhuma medida para se prevenir, já que o problema foi no servidor de dados do SUS. O recomendável agora é mudar senhas e monitorar suas contas.

soluções relacionadas

Sem comentários

Comentários estão fechados.