Situação parece cada dia mais complicada em Brasília. Foto: Divulgação.

Tamanho da fonte: -A+A

O ataque hacker que invadiu sistemas do Ministério da Saúde e outros órgãos do governo nos últimos dias pode ter sido realizado com o login e senha de um funcionário do governo ao serviço de broker da Embratel para a nuvem da AWS.

Segundo revela o Globo, o Gabinete de Segurança Institucional (GSI) da Presidência da República emitiu um alerta para todos os ministérios informando que "alguns casos de instrusão têm ocorrido com o uso de perfis legítimos de administrador". 

A constatação levou o órgão a fazer uma série de recomendações aos gestores de segurança cibernética do governo, como “bloquear imediatamente” a senha de servidores e colaboradores que estejam de férias ou licença, adotar “política de privilégios mínimos” a usuários, exigir a utilização de ferramentas de autenticação mais rigorosas e reavaliar as políticas de backup.

De acordo com o Globo, o governo ainda não sabe qual login e senha teriam sido usados, nem como ele teria sido obtido.

O primeiro ataque cibernético ocorreu no sistema do ConecteSUS e nas plataformas que monitoram a evolução da Covid-19 e do Programa Nacional de Imunização (PNI), todos do Ministério da Saúde. 

Depois, os hackers atacaram as páginas da Escola Virtual e da Agência Nacional de Transportes (ANTT), vinculados ao Ministério da Economia. 

Foram atacados também a Controladoria Geral da União, a Polícia Rodoviária Federal e o Instituto Federal do Paraná.

Todos os órgãos atacados tem em comum usarem serviços de computação em nuvem da AWS, oferecidos por meio de intermédio da Embratel, que venceu uma grande licitação do Ministério do Planejamento em 2019.

A Embratel levou o pregão com uma oferta de R$ 29,9 milhões, menos da metade do preço inicial, migrando inicialmente 10 órgãos públicos para a nuvem. Até abril do ano passado, outros 13 tinham aderido por meio da adesão à Ata de Registro de Preços.

 

Estavam previstas migrações para a AWS em órgãos tão diferentes como Ministério da Fazenda, Cade, Polícia Rodoviária Federal, Agência Nacional de Águas, Conselho Nacional de Justiça, INSS e o Jardim Botânico do Rio de Janeiro.

A perícia inicial da Polícia Federal concluiu que os sistemas não foram criptografados, o que parece simples de averiguar. Não há confirmação ainda se o grupo realmente teve acesso a dados sigilosos.

Na mensagem publicada no site do Ministério da Saúde, os hackers afirmaram ter em sua posse 50 TB de dados.

A hipótese de vazamento de uma senha com acesso com grandes privilégios parece provável.

A HarpiaTech, uma empresa do segmento de segurança, encontrou mais de 500 credenciais de acesso ligadas ao Ministério da Saúde estão à disposição em mercados de vendas de dados. 

Credenciais de acesso consistem do login e senha de usuários de servidores da pasta, com uso do domínio "@saude.gov.br". 

O monitoramento revela que 579 credenciais foram expostas em vazamentos de junho a dezembro deste ano. O número, entretanto, pode ser ainda maior.

Se algumas das vítimas de vazamentos não usarem senhas diferentes também para sistemas internos (bem provável), é possível que criminosos consigam acesso privilegiado.

Procurada pela TV Globo, a Embratel afirmou que cada órgão é responsável pela administração do ambiente de nuvem, e que atua apenas como “broker de Infraestrutura como Serviço”.

Ainda de acordo com a Embratel, "o edital e a ata de registro de preços não incluíram serviços de segurança de dados de nossa empresa". A empresa afirmou, ainda que "por questões contratuais" não comenta temas relacionados a clientes e que está "apoiando os órgãos governo nas suas necessidades técnicas".