Foto: Marcello Casal Jr/Agência Brasil.
Uma nova falha de segurança no sistema de notificações do Ministério da Saúde deixou expostos na internet, por pelo menos seis meses, dados pessoais de mais de 200 milhões de brasileiros.
Segundo o jornal O Estado de S. Paulo, os atingidos não foram apenas pacientes de Covid-19, como no caso noticiado na semana passada. Desta vez, as informações pessoais de qualquer brasileiro cadastrado no SUS ou beneficiário de um plano de saúde ficaram abertas para consulta.
Ao todo, cerca de 243 milhões de registros de pacientes teriam ficado expostos, com informações como número do CPF, nome completo, endereço e telefone. O total de registros é maior que o número de habitantes do país, 210 milhões, porque há informações de pessoas que já morreram.
Entre os brasileiros que tiveram a privacidade violada, estão novamente os chefes dos três poderes: o presidente Jair Bolsonaro, o deputado federal Rodrigo Maia, o senador Davi Alcolumbre, além do presidente do Supremo Tribunal Federal, ministro Luiz Fux.
No caso dos presidentes da Câmara e do Senado, nem um status de VIP na base de dados impediu que suas informações pessoais fossem violadas.
O que também se repete é que o problema foi causado pela exposição indevida de login e senha de acesso, desta vez ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.
De acordo com a publicação, as credenciais de acesso estavam em um trecho do código do site que fica aberto para visualização de qualquer usuário por meio da função “inspecionar elemento”, disponível em qualquer navegador.
O login e a senha de acesso estavam codificados por meio de um método conhecido como base64, facilmente decodificável por meio de ferramentas on-line. Assim, uma pessoa com conhecimentos básicos de desenvolvimento conseguiria encontrar a senha, decodificá-la e acessar o banco de dados.
“O Base64 é um método de codificação de dados e não de segurança de dados. Não é uma forma de criptografar dados. Ou seja, os dados de nomes de usuário e senhas nesse caso estavam, sim, expostos”, explicou Daniel Fireman, professor do Instituto Federal de Educação, Ciência e Tecnologia de Alagoas, ao Estadão.
A falha na exposição de login e senha é similar à reportada ao ministério em junho pela ONG Open Knowledge Brasil (OKBR). Na época, a organização identificou que login e senha para um banco de dados de pacientes com Covid-19 também estavam expostos no meio do código do site.