Menos de uma semana após a divulgação do vazamento de dados do sistema de notificações de Covid-19, nesta quarta-feira, 2, o Ministério da Saúde foi denunciado por deixar expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros. Mais uma vez, o problema foi causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
Essas credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador. Uma pessoa com conhecimentos básicos de desenvolvimento de sites conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas online. A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com covid também estavam expostos no meio do código do site.
Após a denúncia da OKBR, o ministério corrigiu o erro apontado pela entidade, mas não revisou outras possíveis falhas no código. O problema identificado agora pelo Estadão na exposição de senha de outro sistema já existia no início de junho, quando a denúncia foi feita, conforme documento registrado em cartório pela OKBR.
As credenciais do “bucket” da Amazon Web Services (local onde os dados são depositados e acessados na nuvem) podiam ser encontradas ao acessar o sistema por qualquer um dos principais navegadores da web e utilizando a ferramenta “Inspecionar Elemento”.
A função abre um menu com uma série de informações sobre o endereço acessado pelo navegador. Pela ferramenta, era possível encontrar um arquivo JavaScript chamado “main-es2015.e34b7d4f2c26ea460510.js”, que estava disponível na URL <https://notifica.saude.gov.br/main-es2015.e34b7d4f2c26ea460510.js>. O arquivo, um conjunto extenso de código, trazia em seu interior as informações necessárias para acessar o repositório. Qualquer um com conhecimentos técnicos básicos poderia identificar essas informações e acessar os relatórios.
Questionado sobre o vazamento, o Ministério da Saúde disse que “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do Ministério”. Neste ponto, vale lembrar que pela nova Lei Geral de Proteção de Dados (LGPD), os responsáveis podem ser responsabilizados por dano individual ou coletivo e ainda serem obrigados a pagar indenizações.
IDEC
No mesmo dia do primeiro vazamento ser anunciado, o Idec (Instituto Brasileiro de Defesa do Consumidor) protocolou uma representação junto ao Ministério Público Federal solicitando a abertura de inquérito para investigar falhas em medidas de controle e segurança digital dos responsáveis.
“Mais uma vez nos deparamos com falhas graves de segurança que podem ter gerado prejuízo ou ainda prejudicar uma grande quantidade de brasileiros. Vemos que nem mesmo um sistema do governo que armazena dados de saúde, que deveria ser exemplo pela natureza dessas informações, está seguro. É outro exemplo que alerta para a necessidade de que tanto o setor público como privado invistam mais para proteger consumidores”, alerta Bárbara Simão, advogada e especialista em direitos digitais do Idec.
No Brasil, a Lei Geral de Proteção de Dados começou a vigorar em 18 de setembro deste ano. Ela regulamenta o tratamento de dados pessoais por parte de empresas públicas e privadas e determina que qualquer banco de dados que incluir em sua base informações de seus consumidores, por mais básicas que sejam —como nome e email—, deve seguir os procedimentos da nova lei. Saiba mais no especial do Idec.
No documento ao Ministério Público Federal, o Idec ressalta que “a gravidade do incidente surpreende pela ausência de cuidados básicos relacionados à segurança das informações armazenadas”. Entre os principais pontos destacados estão o fato de existir uma tabela com logins, usuários e senhas de funcionários; a não aplicação de medidas de segurança básicas como autenticação em dois fatores, utilizada em larga escala mesmo para acesso a aplicações como e-mail; e o fato de que nenhum outro critério de segurança rigoroso tenha sido adotado, especialmente considerando-se a sensibilidade dos dados e os riscos de exposição relacionados.
Em casos de vazamento o Idec defende que o responsáveis devem agir com total transparência e informar os cidadãos afetados pelo vazamento dos riscos de terem seus dados expostos na internet.
Nestes casos, ainda não houve por parte dos responsáveis pelo banco de dados essa comunicação direta com os consumidores. Por isso, o Idec faz algumas recomendações para quem teve caso confirmado ou diagnóstico suspeito de Covid-19, após um caso de vazamento de dados como esses:
- Confira nos próximos dias se recebeu alguma notificação de empresa ou instituição informando que você teve seus dados vazados.
- Se o caso for positivo, se atente às recomendações da empresa e cobre dela informações precisas sobre o vazamento e as medidas que ela está tomando para te proteger.
- Tenha sempre atenção com qualquer ligação que peça informação ou confirmação de dados pessoais. Neste caso, tenha mais atenção ainda com o recebimento de mensagens de empresas ligadas ao setor de saúde (como operadoras de planos de saúde ou corretores). Se desconfiar que quem te contatou possui alguma informação pessoal ou de saúde de que ela não deveria ter conhecimento, você deve procurar um órgão de proteção aos consumidores para denunciar.
- Isso também vale para outras ligações suspeitas com pedido de fornecimento de mais informações. Desconfie sempre!
- Se sofrer qualquer dano moral ou material como consequência do vazamento de seus dados – por exemplo, se seus dados forem utilizados em operações comerciais e isso lhe cause prejuízo financeiro -, também entre em contato com a empresa que foi objeto do vazamento de dados para receber suporte. Caso não tenha seus direitos respeitados, você pode denunciar a empresa nos canais oficiais como os Procons, consumidor.gov.br, ou agência reguladoras, ou ainda tomar as medidas legais para a reparação de danos.
