Um dia depois de ser invadido por uma hacker, que postou frases como o “ o site continua uma bosta” e “arrumem este site porco”, o Departamento de Informática do SUS (DATASUS) do Ministério da Saúde publicou uma nota informado que “o incidente de segurança registrado no FormSUS não acarretou o vazamento de dados, pois tratou-se apenas de uma técnica conhecida como defacement, que é comparada a uma pichação e consiste na realização de modificações no conteúdo e na estética de uma página da web.”
Veja a integra do comunicado:
Desde 2005, o Departamento de Informática do SUS (DATASUS) disponibilizava o FormSUS como plataforma para criação de formulários públicos, tendo como premissa que o gestor da ferramenta não adicionasse campos para registrar informações pessoais ou sensíveis dos pacientes. Contudo, no dia 28 de janeiro, identificou-se o uso inadequado do serviço, o que não está de acordo com as políticas e orientações do Ministério da Saúde.
Essa situação – a independência dos gestores na criação de formulários e o risco de exposição de dados inseridos por usuários – somada às sucessivas tentativas de invasão, fez com que o departamento decidisse por retirar a ferramenta do ar. Nos últimos dias, o DATASUS manteve a plataforma disponível apenas para que os gestores pudessem fazer o download dos formulários criados na ferramenta.
É importante ressaltar que o ambiente do DATASUS não foi invadido, nem houve prejuízo aos dados dos sistemas transacionais. Portanto, o incidente de segurança registrado no FormSUS não acarretou o vazamento de dados, pois tratou-se apenas de uma técnica conhecida como defacement, que é comparada a uma pichação e consiste na realização de modificações no conteúdo e na estética de uma página da web. O FormSUS é um sistema de tecnologia antiga, herdado de gestões anteriores, no qual não cabe atualizações de proteção e segurança.
Os gestores que desejarem acessar os resultados de formulários devem entrar em contato por meio do e-mail formsus@saude.gov.br.
