NNOTICIA (ANUNCIAR CONOSCO)

Senhas do Ministério da Saúde para sistema de notificação de Covid-19 também ficaram expostas em junho, diz ONG

Segundo a Open Knowledge Brasil, o site do e-SUS Notifica tinha brecha que mostrava credenciais para acessar dados de pacientes. Ministério diz que informações pessoais

Por Rafael Ramires Celestino Pinheiro em 27/11/2020 às 15:22:02

Segundo a Open Knowledge Brasil, o site do e-SUS Notifica tinha brecha que mostrava credenciais para acessar dados de pacientes. Ministério diz que informações pessoais não foram expostas. Falha foi corrigida. Senhas ficaram expostas em arquivo que poderia ser encontrado no código-fonte do e-SUS Notifica.

TheDigitalWay/Pixabay

O sistema e-SUS Notifica, do Ministério da Saúde, que reúne informações de brasileiros que tiveram diagnóstico suspeito ou confirmado de Covid-19, possuía uma falha de segurança identificada em junho pela Open Knowledge Brasil – organização sem fins lucrativos que promove transparência e dados abertos.

Essa foi mais uma vulnerabilidade do sistema: na última quinta-feira (26), foi revelado que senhas de acesso de bancos de dados do e-SUS Notifica foram publicadas em uma plataforma aberta por um funcionário do Hospital Albert Einstein que estava trabalhando em um projeto com o Ministério da Saúde.

A falha de segurança revelada pela Open Knowledge Brasil também envolve senhas de acesso de um servidor com informações do e-SUS Notifica. O problema foi corrigido dias depois de a ONG denunciá-lo ao governo federal.

De acordo com a organização, a vulnerabilidade permitia acessar uma base de dados com informações pessoais de cidadãos – incluindo CPF, endereço, telefone, além de informações confidenciais como doenças pré-existentes.

Em nota enviada ao G1, o Ministério da Saúde confirmou que a falha de segurança existia, mas disse que o sistema "hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados" (veja a íntegra abaixo).

Essa informação foi contestada pela ONG, que afirmou que as senhas davam acesso às mesmas bases de dados que ficaram expostas após a publicação das credenciais nesta semana, que revelou informações de membros do governo.

A falha de segurança

Segundo a Open Knowledge Brasil, o site da plataforma e-SUS Notifica continha um arquivo escondido, que podia ser encontrado no código-fonte, com credenciais que davam acesso a banco de dados com informações pessoais de cidadãos.

O e-SUS Notifica foi criado em março deste ano e recebe notificações de casos leves e moderados de Covid-19, suspeitos ou confirmados, de hospitais públicos e privados. São registradas informações de identificação e detalhes como o tipo de teste realizado, sintomas e tratamento, além de condições pré-existentes dos pacientes.

A vulnerabilidade foi encontrada na noite do dia 4 de junho e, no dia 7, foi registrada uma denúncia na ouvidoria do Controladoria-Geral da União alertando sobre o caso, junto com uma ata registrada em cartório que comprovava a falha.

Dez dias depois, o arquivo que continha as informações de usuário e senha para o acesso ao banco de dados foi removido do site.

A diretora da Open Knowledge Brasil, Fernanda Campagnucci, descreveu que "expor as credenciais do banco de dados no próprio código do site é um erro primário de quem desenvolveu, supervisionou e homologou a implementação do sistema" e que isso seria equivalente a "deixar a chave de um cofre na porta do mesmo".

O Ministério da Saúde afirmou que foram implementadas "melhorias que fazem a codificação da chave" e "ofuscação de código, impossibilitando a visualização via inspeção".

Dificuldade para fazer a denúncia

A organização disse que tentou protocolar a denúncia na Ouvidoria do SUS (Sistema Único de Saúde), mas um dos campos obrigatórios estava com defeito, e não permitia prosseguir com a solicitação.

Apesar de a correção ter acontecido dez dias após a denúncia à Controladoria-Geral da União, a Open Knowledge relatou ao G1 que o Ministério da Saúde não respondeu às suas solicitações, e que só foi possível constatar a correção pelo monitoramento diário que a organização fez da vulnerabilidade.

Uma semana depois da abertura do protocolo, a Ouvidoria Geral da União considerou a demanda “concluída” e redirecionou de forma automática para a Ouvidoria do SUS.

A ONG também pediu uma auditoria para apurar a extensão do dano, a fim de saber se houve acesso não autorizado e se os dados foram baixados em algum momento, mas não conseguiu acompanhar o protocolo da solicitação.

Em nota, o Ministério da Saúde afirmou que "recebeu a denúncia anônima" e que "não houve qualquer tipo de invasão no sistema percebida pela equipe".

A reclamação da organização enviada para a Ouvidoria Geral da União, a qual o G1 teve acesso, não foi anônima.

O G1 questionou o Ministério da Saúde sobre essa informação, mas até a última atualização desta reportagem não tinha obtido retorno.

Resposta ao pedido de informação

Em conjunto com a denúncia, a organização solicitou informações sobre os protocolos de segurança de dados pessoais do sistema e-SUS Notifica, que foram respondidas pelo Ministério da Saúde por meio da Lei de Acesso à Informação (LAI).

Questionado pela ONG sobre os critérios e protocolo de segurança de dados pessoais, o ministério afirmou que "o sistema atende a LGPD [Lei Geral de Proteção de Dados]" e que "por questão de segurança" não poderia revelar as medidas.

A Lei Geral de Proteção de Dados, no entanto, indica que instituições que lidam com dados precisam ser transparentes sobre como gerenciam as informações das pessoas, e que é necessário demonstrar o cumprimento de medidas "das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas".

O Ministério da Saúde também indicou que, em junho, 8.714 pessoas tinham acesso para obter relatórios de casos suspeitos ou confirmados de Covid-19 pelo sistema e-SUS Notifica.

Para a diretora da Open Knowledge Brasil, Fernanda Campagnucci, esse é um número exagerado.

"Não é só falha de segurança, é toda a política de gestão da informação que parece estar equivocada ainda ", disse ao G1. "Ter extração de dados é importante para os gestores, mas precisa ser de todo mundo, com todos aqueles campos?", completou.

Nota do Ministério da Saúde:

"O Ministério da Saúde informa que recebeu a denúncia anônima nº 3655692, que informava a violação de privacidade da proteção de dados de pessoas registradas no sistema e-Notifica, com suspeita ou confirmação de Covid-19. Contudo, o sistema de registro de notificações e-SUS Notifica hospedava somente alguns relatórios extraídos pelos estados, portanto, não expondo os dados registrados no banco de dados. Com isso, em momento algum, o acesso à base de dados do e-SUS Notifica foi ameaçada.

De qualquer forma, foram implementadas melhorias que fazem a codificação da chave em variáveis de ambiente, além de ofuscação de código - impossibilitando a visualização via inspeção de código. Cabe salientar que não houve qualquer tipo de invasão no sistema percebida pela equipe.

O Ministério da Saúde agradece o empenho da sociedade no apontamento do problema e ressalta que foram tomadas todas as medidas para resolvê-lo.

Por fim, o DataSus está sempre buscando melhorias para garantir a segurança da informação sem prejuízo a identidade e privacidade do cidadão."

Veja os vídeos mais assistidos do G1

Fonte: G1

Comunicar erro
NFM#1

Comentários

Klin 1