Ministério da Saúde sofre invasão e hacker debocha: 'Este site está um lixo!'
Rede do sistema que reúne informações de pacientes é novamente alvo de ataque virtual
BRASÍLIA - A rede do Ministério da Saúde foi novamente alvo de ataque virtual na semana passada. Desta vez, não houve vazamento de informações nem qualquer dano ao sistema, segundo a pasta, mas o hacker deixou um recado sobre o que pensa da segurança dos dados do órgão. "ESTE SITE ESTÁ UM LIXO!", afirma a mensagem, escrita em letras maiúsculas, que ficou visível na sexta-feira, 29, no FormSUS, um serviço do DataSUS para a criação de formulários. O sistema reúne informações de pacientes da rede pública de saúde.
"Qualquer criança consegue invadir este excremento digital, causar lentidão e até estragos maiores", escreveu o invasor. O hacker mandou também recados ao presidente da República: "Favor levar a sério os assuntos de segurança da informação. Bolsonaro !, dá um jeito aí ! (sic)".
O Estadão mostrou, em novembro e dezembro, que falha de segurança no sistema de notificações de covid-19 do Ministério da Saúde expôs na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros, inclusive de Bolsonaro. A pasta também teve sistemas atingidos, no fim de 2020, no mesmo período em que outros órgãos públicos foram alvo, como o Superior Tribunal de Justiça (STJ) e o Tribunal Superior Eleitoral (TSE).
A Saúde afirma que a invasão da última semana usou uma técnica conhecida como "defacemet". "Comparada a uma pichação, que consiste na realização de modificações de conteúdo e estética de uma página da internet", disse a pasta. Ao invadir o FormSUS, o hacker deixou dicas para melhorar a tecnologia do site. "A solução é muito simples de ser implementada, com 1 semana de trabalho de uma empresa séria + custo de aproximadamente R$15 mil é possível fazer um site com a melhor tecnologia disponível no mercado e trazer segurança e agilidade a todos os usuários da plataforma no Brasil, não é caro é ? (sic)."
Lucas Lago, desenvolvedor do projeto7c0.com.br e pesquisador na Universidade de São Paulo (USP), afirma que este tipo de mudança na interface do site ocorre quando há vulnerabilidade de segurança. "Não é uma falha muito crítica, muito gigantesca. É bastante comum, mas é importante corrigir", disse.
Para Solano de Camargo, advogado especialista em Direito Digital, o governo trata com desdém as falhas de segurança. "É muito sério. Em qualquer país da União Europeia seria um escândalo", disse. "A LGPD (Lei Geral de Proteção de Dados) parece uma lei para 'inglês ver'. O governo não se escandaliza (com invasões e vazamentos). Se o Brasil é pária internacional pela atuação contra a covid-19, a gente está num nível pior, parecido com o da Coreia do Norte, no que diz respeito à proteção de dados pessoais", completa o advogado.
Dados de pacientes expostos
Além da invasão da última semana, dados de cerca de 315 ficaram expostos no FormSUS pelo menos de 29 de janeiro a 1º de fevereiro As fichas eram de pessoas que recebem do governo estadual de São Paulo medicamentos controlados e só foram retiradas do ar após questionamentos do Estadão.
A Secretaria de Saúde local afirma que a gestão do site é feita pelo governo federal. Procurado, o Ministério da Saúde disse que questionou o governo paulista. Não está claro que a exposição destes dados tem relação com a invasão no FormSUS feita em 29 de janeiro.
O vazamento permitia ver o nome dos pacientes, qual tratamento estava sendo administrado, além de datas de começo e fim do uso da droga. Também havia informações sobre internações, altas e óbitos de pacientes.
Para Lucas Lago, este vazamento é bem mais grave. "O site foi desenvolvido de tal forma que qualquer um teria acesso a estes dados, sabendo o caminho. Claramente deveriam estar protegidos por alguma autenticação, como usuário e senha. O FormSUS não foi desenvolvido com a preocupação de sigilo de dados", disse.
"Não existe vazamento pior que os de dados da saúde. Expostos, podem causar complicações até por preconceitos a grupos vulneráveis que recebem medicamentos controlados", afirma Solano de Camargo.
Diretor da Associação Data Privacy Brasil de Pesquisa, Rafael Zanatta afirma que havia grande expectativa de reação às falhas reveladas no fim de 2020 pelo Estadão. "Os casos foram muito graves. Infelizmente a repercussão no Congresso foi capenga", disse.
Zanatta afirma que as falhas de segurança no Ministerio da Saúde são "sistêmicas". Para ele, o Ministério Público Federal (MPF) poderia, inclusive, pedir a suspensão de contratos de gestão dos sistemas da Saúde. "O que precisaria ser feito é uma espécie de auditoria de sistema, com olhar apurado do Parlamento. Como são feitas as contratações e terceirizações em sistemas? E elaborar um conjunto mínimo de princípios e recomendações", disse.
A Secretaria de Saúde local afirma que a gestão do site é feita pelo governo federal. Procurado, o Ministério da Saúde disse que questionou o governo paulista. Não está claro se a exposição desses dados tem relação com a invasão no FormSUS feita em 29 de janeiro./ COLABOROU EDUARDO RODRIGUES